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H 政府 和 医疗 卫生 行业 成 为 全 球 APT 活动 关注 的 首要 目标 。 全 球 41% 的 APT 活动 事件 与 政府 和 医疗 
卫生 行业 相关 。 针 对 疾 控 与 防疫 机 构 、 病 毒 研究 机 构 、 疫 苗 研 发 机 构 和 其 他 相关 的 医学 研究 机 构 的 高 级 
威胁 活动 持续 不 断 。 


4 中国 继续 成 为 全 球 APT 活动 的 首要 地 区 性 目标 。 面 对 世界 百年 未 有 之 大 变局 ， 中 国 的 经 济 与 科技 领 
域 网 络 安全 ， 正 在 经 受 着 前 所 未 有 的 巨大 考验 。 针 对 中 国 领先 的 科研 机 构 、 科 技 企 业 的 网 络 窃 密 活动 与 
网 络 破坏 活动 持续 加 剧 。 


4 2021 年 ， 全 球 APT 活动 呈现 出 四 大 特点 : APT 组 织 装 备 了 更 多 的 0day 漏洞 武器 ， 历 史 罕 见 ; 疫情 


影响 重大 的 APT 攻击 事件 。 


4 2021 年 0day 漏洞 攻击 呈 爆 发 趋势 ， 在 野 利 用 的 0day/1day 漏洞 数量 超过 70 个 ， 在 网 络 安全 历史 
上 前 所 未 见 。 在 野 0day 漏洞 利用 的 整体 趋势 以 Windows 平台 为 基础 ，Chrome/Safari 浏览 器 为 主流 ， 
向 多 平台 延伸 。Exchange、 域 控 等 内 网 核心 资产 0day 漏洞 成 为 新 的 爆发 点 ， 同 时 随 着 iOS, Android 
生态 的 不 断 完 善 ， 相 关 APT 组 织 针对 这 些 平台 的 0day 攻击 也 逐年 以 稳定 的 趋势 增加 。 


y 我 们 预测 ， 在 2022 年 ，APT 活动 将 呈现 出 如 下 六 大 趋势 : 疫苗 及 相关 产业 将 会 遭 到 持续 攻击 ; 针对 
中 国 的 APT 行动 将 持续 加 剧 且 更 加 隐秘 ; TEST Oday 漏洞 利用 持续 爆发 ; 瞄准 关键 基础 设施 的 破坏 和 攻 
击 会 越发 泛滥 ; 针对 网 络 安全 产品 的 攻击 会 受到 APT 组 织 更 多 的 青睐 ; 会 爆发 更 多 、 更 严重 的 供应 链 攻 
击 事件 。 
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4 2021 年 ， 奇 安信 威胁 情报 中 心 首 次 使 用 奇 安 信 威 胁 雷 达 对 境内 的 APT 攻击 活动 进行 了 全 方位 遥感 测 
绘 。 监 测 到 我 国 范围 内 大 量 IP 地 址 与 数 十 个 境外 APT 组 织 产 生 过 高 危 通信 ， 北京 地 区 以 及 广东 、 福 建 、 
浙江 、 江苏 等 沿海 省 份 作为 我 国政 治 中 心 、 经 济 发 达 地 区 , 是 境外 APT 组 织 进行 网 络 攻击 的 主要 目标 地 区 。 


4 基于 奇 安信 威胁 雷达 的 测绘 分 析 ，2021 年 ， 海 莲花 、 蔓 灵 伦 、 虎 木 樟 、Winnti、 毒 云 藤 等 组 织 ， 是 
对 我 国 攻击 频率 最 高 、 危 害 最 大 的 APT 组 织 。 我 国境 内 受 其 控制 的 IP 地址 比例 分 别 为 : 海 莲 花 2296, 
毒 云 芯 17%, EICAR 1596, Darkhotel 1296, ÆR 10%。 


h 本 次 报告 通过 综合 分 析 奇 安信 威胁 雷达 测绘 数据 、 奇 安信 红 雨 滴 团 队 对 客户 现场 的 APT 攻击 线索 
排查 情况 以 及 奇 安信 威胁 情报 支持 的 全 线 产品 告警 数据 ， 得 出 以 下 结论 : 2021 年 ， 我 国政 府 部 门 、 卫 
生 医 疗 部 门 、 高 新 科技 企业 遭受 高 级 威胁 攻击 突出 ， 受 影响 的 行业 排名 前 五 分 别 是 : 政府 30%， 医 疗 
15%， 能 源 13%， 科 研 9%， 教 育 8%。 


£; 2021 年 ， 奇 安信 威胁 情报 中 心 收录 了 434 篇 高 级 威胁 类 公开 报告 ， 涉 及 145 个 已 命名 的 攻击 组 织 或 
攻击 行动 。 其 中 ， 提 及 率 最 高 的 五 个 APT 组 织 分 别 是 : Lazarus 9.696, APT29 8.796, Kimsuky 6.3%, 
肚 脑 虫 5: 4%, 海 连 花 3. 296, 


y 本 次 报告 对 开源 情报 中 涉及 的 高 级 威胁 活动 目标 国家 地 区 分 布 情况 进行 了 分 析 ， 统 计 显 示 ，2021 年 ， 
高 级 威胁 攻击 活动 几乎 覆盖 了 全 球 绝 大 多 数 国 家 地 区 。 其 中 ， 提 及 率 最 高 的 五 个 受害 国家 分 别 为 : 韩国 


7.4%， 俄 罗斯 6.8%， 中 国 5.8%， 美 国 5.696, ED 5.396. 


4 政府 部 门 和 医疗 卫生 行业 依然 是 全 球 APT 活动 关注 的 首要 目标 ， 紧 随 其 后 的 是 科技 、 国 防 、 制 造 、 
能 源 等 领域 。 


¿> 2021 年 ，0day 漏洞 攻击 呈 爆 发 趋势 ， 在 野 利用 的 0day/1day 漏洞 数量 超过 70 个 ， 在 网 络 安全 历史 
上 前 所 未 见 ， eh sii iil nM ih 7818] 5 个 重要 应 
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为 APT 活动 新 趋势 。 


关键 字 : 全 球 高 级 持续 性 威胁 、APT、0day、 供 应 链 、 威 胁 雷达 、 疫 情 


o 


«(925 奇 安 信 威 胁 情报 中 心 


邮箱 : ti support(9qianxin.com 


电话 : 95015 


官网 : https;//ti.qianxin.com 


目录 / 全 球 高 级 持续 性 威胁 (APT) 2021 年 度 报 告 


目录 


第 一 章 中 国境 内 高 级 持续 性 威胁 综述 
一 、 奇 安信 威胁 雷达 境内 遥测 分 析 
Z, 2021 年 紧 盯 我 国 的 活跃 组 织 
三 、2021 年 境内 受害 行业 分 析 


第 二 章 全 球 高 级 持续 性 威胁 综述 
一 、 全 球 高 级 威胁 研究 情 ， 
二 、 受 害 目标 的 行业 与 地 域 
三 、 活 跃 高 级 威胁 组 织 情况 
四 、 高 级 威胁 年 度 活动 特点 
五 、2021 年 全 球 受 害 行业 分 析 


第 三 章 地 缘 下 的 APT 组 织 、 活 动 和 趋势 
一 、 东 亚 地 区 
二 、 东 南亚 地 区 
三 、 南 亚 地 区 
四 、 东 欧 地 区 
五 、 中 东 地 区 
六 、 其 他 地 区 


第 四 章 史诗 级 海量 0day 漏洞 被 用 于 APT 攻击 


一 、CVE-2021-1647: Windows Defender 的 阿 喀 琉 斯 之 中 
—. Chrome 浏览 器 在 野 Oday 漏洞 攻击 爆发 


全 球 高 级 持续 性 威胁 (A 2021 年 度 报告 


01 
01 
05 
16 


18 
18 
19 
21 
22 
26 


50 
51 
27 
40 
45 
49 
53 


59 
64 
64 


目录 / 全 球 高 级 持续 性 威胁 (APT) 2001 FERE ¿<s> 奇 安信 威胁 情报 中 心 


=. Exchange/ 域 控 等 内 网 核心 资产 0day 漏洞 成 为 焦点 66 
四 、 久 违 的 Adobe Reader 在 野 0day 漏洞 利用 攻击 链 67 
五 、 网 络 武器 军火 商 推波助澜 67 
zw. HEINES (PrintNightmare) : 一 系列 打印 机 Oday 漏洞 68 
七 、 针 对 iOS/macOS 的 多 起 0day 漏洞 攻击 活动 69 
J\s CVE-2021-40444: 精妙 的 Office TES Oday 漏洞 利用 70 
A. Log4Shell: 暗藏 在 Apache Log4j 下 的 Java 生态 核弹 71 
十 、 海 莲花 : 利用 多 个 国内 安全 企业 0day 发 起 供应 链 APT 攻击 72 
第 五 章 2022 年 高 级 持续 性 威胁 预测 75 
一 、 疫 苗 及 相关 产业 将 会 遭 到 持续 攻击 73 
二 、 针 对 中 国 的 APT 行动 将 持续 加 剧 73 
三 、 在 野 0day 漏洞 利用 持续 爆发 78 
四 、 瞄 准 关键 基础 设施 的 破坏 和 攻击 会 越发 泛滥 74 
五 、 针 对 网 络 安全 产品 的 攻击 会 受到 APT 组 织 更 多 的 关注 74 
六 、 爆 发 更 多 、 更 严重 的 供应 链 APT 攻击 事件 75 
附录 1 全 球 主要 APT 组 织 列 表 76 
附录 2 奇 安信 威胁 情报 中 心 80 
附录 3 红 雨 滴 团 队 (Red Drip Team) 82 


附录 4 参考 链接 85 


邮箱 : ti_support@qianxin.com ”电话 : 95015 ”官网 : https://ti.qianxin.com 


第 一 章 中 国境 内 高 级 持续 性 威胁 综述 / 全 球 高 级 持续 性 威胁 (APT) 2021 年 度 报告 


第 一 章 中 国境 内 高 级 持续 性 威胁 综述 


基于 中 国境 内 海量 DNS 域名 解析 和 奇 安信 威胁 情报 中 心 失陷 检测 (I0C) 库 的 碰撞 分 析 ( 奇 安信 威胁 雷 
A) ， 是 了 解 我 国境 内 APT 攻击 活动 及 高 级 持续 性 威胁 发 展 趋势 的 重要 手段 。 


2021 年 , 奇 安信 威胁 情报 中 心 首次 使 用 奇 安信 威胁 雷达 对 境内 的 APT 攻击 活动 进行 了 全 方位 遥感 测绘 。 
监测 到 我 国 范 围 内 大 量 IP 地 址 疑似 和 数 十 个 境外 APT 组 织 产 生 过 高 危 通 信 ,， 北京 地 区 以 及 广东 、 福 建 、 
浙江 、 江苏 等 沿海 省 份 作为 我 国政 冶 中 心 、 经 济 发 达 地 区 , 是 境外 APT 组 织 进行 网 络 攻击 的 主要 目标 地 区 。 


本 章 内 容 及 结论 主要 基于 奇 安信 威胁 雷达 数据 、 奇 安信 红 雨 滴 团队 在 客户 现场 处 置 排查 的 真实 APT 攻击 
事件 ， 结 合 使 用 了 奇 安 信 威 胁 情报 的 全 线 产 品 告警 数据 ， 进 行 的 整理 与 分 析 。 


一 、 奇 安信 威胁 雷达 境内 遥测 分 析 


奇 安 信 威 胁 雷达 是 奇 安信 威胁 情报 中 心 基于 奇 安 信 大 网 数据 和 威胁 情报 中 心 失 陷 检 测 (IOC) 库 ， 用 于 
监控 全 境 范围 内 疑似 被 APT 组 织 、 各 类 伪 木 蠕 控制 的 网 络 资产 的 一 款 威胁 情报 SaaS 应 用 。 通 过 整合 奇 
安信 的 高 、 中 位 威胁 情报 能 力 ， 发 现 指定 区 域内 疑似 被 不 同 攻击 组 织 或 恶意 软件 控制 的 主机 IP， 了 解 不 
同 威胁 类 型 的 比例 及 被 控 主机 数量 趋势 等 。 可 进一步 协助 排查 重点 资产 相关 的 APT 攻击 线索 。 


会。 全 国 城市 全 境 受害 者 数据 分 析 9 


simum 


CO REM 


图 1.1 奇 安 信 威 胁 雷 达 境 内 受害 者 数据 分 析 


《人 ea》 奇 安信 威胁 情报 中 心 
基于 奇 安信 威胁 雷达 境内 的 遥测 分 析 ， 我 们 从 以 下 方面 对 我 国境 内 疑似 遭受 的 APT 攻击 进行 了 分 析 和 统 
MS 
受 控 IP 数量 和 趋势 
奇 安信 威胁 情报 中 心 基于 威胁 雷达 在 2021 年 监测 到 数 十 个 境外 APT 组 织 针对 我 国 范围 内 大 量 目标 IP 发 
生 过 通信 ， 形 成 了 大 量 的 境内 IP 与 特定 APT 组 织 的 网 络 基础 设施 的 高 危 通信 事件 。 其 中 ， 部 分 目标 IP 
曾经 与 多 个 APT 组 织 的 多 个 C2 服务 器 (Command & Control Server, 远 控 服 务 器 ) 之 间 产 生 非 法 连接 。 
下 图 为 2021 年 奇 安信 威胁 雷达 遥测 感知 的 我 国境 内 每 月 连接 境外 APT 组 织 C2 服务 器 的 疑似 受害 IP 地 


址 个 数 统计 : 平均 每 月 有 超过 **** 余 个 境内 IP 地 址 与 特定 APT 组 织 的 C2 服务 器 产生 非法 连接 , 且 年 中 、 
年 末 为 攻击 高 峰 时 期 。 


2021 年 中 国境 内 疑似 受 控 IP 地 址 月 度 分 布 


1H 2H 3H 4H 5H 6H 7H 8H 9H 10H 11H 12H 
hup. 5r $c fà 


A. El 1.2 2021 年 中 国境 内 疑似 受 控 IP 地 址 月 度 分 布 


2021 年 中 国境 内 每 月 新 增 疑似 被 境外 APT 组 织 控制 的 IP 地 址 变化 趋势 如 下 图 所 示 。 反 映 出 APT 组 织 
不 断 发 动 更 多 的 针对 性 攻击 或 在 进行 攻击 活动 时 频繁 更 换 C2 服务 器 。 新 增 受 控 IP 地 址 趋势 也 与 图 1.2 
中 每 月 连接 境外 APT 组 织 C2 服务 器 的 疑似 受害 IP 地 址 分 布 相符 。 
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2021 年 中 国境 内 每 月 新 增 疑 似 受 控 IP 地 址 变化 趋势 
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A. E] 1.3 2021 年 中 国境 内 每 月 新 增 疑 似 受 控 IP 地 址 变化 趋势 


受害 目标 区 域 分 布 


给 出 了 2021 年 中 国境 内 疑似 连接 过 境外 APT 组 织 C2 服务 器 的 IP 地 址 地 域 分 布 ， 分 别 展示 了 各 省 
en IP 地 址 的 个 数 : 可 以 看 到 广东 、 福 建 、 浙 江 、 江 苏 等 沿海 省 份 及 北京 地 区 作为 我 国 经 济 发 达 
省 份 和 政治 中 心 是 境外 APT 组 织 重点 攻击 的 主要 目标 地 区 。 


2021 年 中 国境 内 疑似 受 控 IP 地 址 地 域 分 布 


广东 福建 浙江 江苏 北京 安徽 江西 重庆 四 川 山东 湖北 辽宁 


A. 图 1.4 2021 年 中 国境 内 疑似 受 控 IP 地 址 地 域 分 布 
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APT 组 织 资产 分 布 


下 图 分 别 展示 了 2021 年 境外 APT 组 织 疑似 控制 我 国境 内 目标 IP 地 址 的 个 数 占 比 以 及 境外 APT 组 织 
似 使 用 过 的 C2 服务 器 数量 分 布 。 


2021 年 APT 组 织 控制 境内 IP 地 址 数量 占 比 及 C2 服 务 器 所 属 团伙 数量 分 布 


APT 组 织 控制 境内 IP 地 址 数量 占 比 ”02 服务 器 所 属 团伙 数量 分 布 


RES 


Exi ^ 响尾蛇 6% ADS 
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新 一 代 网 络 安 全 领军 者 


A. 图 1.5 2021 年 APT 组 织 控制 境内 IP 地 址 数量 占 比 及 C2 服务 器 所 属 团伙 数量 分 布 


可 以 看 出 ， 海 莲花 、 毒 云 藤 、EICAR、Darkhotel、 萝 灵 花 、 魔 罗 检 等 潜伏 在 我 国 周边 国家 和 地 区 的 APT 
组 织 疑 似 控制 了 境内 大 部 分 受 控 IP 地 址 。 海 莲花 和 毒 云 蕨 作为 我 们 的 老 对 手 ， 在 2021 年 依旧 保持 着 超 
高 的 活动 频率 ， 是 我 国 目 前 面临 的 最 大 的 网 络 威胁 。 

进一步 对 东亚 、 南 亚 及 东南 亚 地 区 APT 组 织 的 C2 服务 器 及 其 控制 的 境内 1P 地 址 数据 分 析 后 有 如 下 发 现 : 


” 蓝 宝 菇 组 织 在 2021 年 的 攻击 主要 集中 在 2-7 月 ， 该 组 织 使 用 少量 C2 服务 器 与 境内 大 量 目 标 IP 地址 
建立 过 通信 连接 ; 


* EICAR 组 织 全 年 攻击 活动 集中 在 10-12 月 , 与 蓝 宝 菇 相似 , 均 使 用 少量 C2 服务 器 批量 攻击 境内 目标 ; 


" 南亚 地 区 APT 组 织 (如 : ERE) 的 网 络 服务 器 资产 较为 分 散 , 通常 在 攻击 活动 中 灵活 更 换 C2 服务器， 
或 与 其 攻击 团伙 的 人 员 规 模 有 一 定 正比 关系 。 


" 毒 云 藤 组 织 惯用 模仿 正常 域名 的 佼 俩 实施 钓鱼 攻击 。 统 计 其 在 2021 年 的 攻击 活动 中 累计 使 用 的 
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1500 余 个 域名 ,其 中 “mail” 关 键 字 占据 了 其 域名 资产 的 41%， 可 见 该 组 织 的 主要 攻击 手法 为 模仿 各 
种 邮件 域名 诱 使 目标 点 击 钓鱼 邮件 链接 。 而 “163”、“QQMail”、“126” 等 邮箱 关键 词 显 示 了 毒 云 
蕨 组 织 最 喜爱 的 仿冒 目标 。 该 组 织 还 会 在 域名 中 添加 “gov”、“edu” 等 关键 词 用 以 针对 特定 目标 。 此 外 ， 
部 分 域名 中 还 包含 有 “sec”、 “security”、 “filedownload” 等 关键 词 用 于 迷惑 受害 目标 。 


不 同 关键 字 在 毒 云 苹 C2 资 产 中 的 占 比 一 览 


41.4% | 本 14.7% 


“mail” “163” ~ “qq” or “126” "cn" ~ "edu" or "gov" "sec" or "filedwnload" 


A 图 1.6 不 同 关键 字 在 毒 云 膝 域 名 资产 中 的 占 比 


二 、2021 年 紧 盯 我 国 的 活跃 组 织 


2021 年 全 年 ， 针 对 中 国 的 国家 级 背景 APT 组 织 为 达到 攻击 目的 ， 不 惜 花费 巨额 资金 和 人 力 物 力 成 本 ， 
不 断 升 级 攻击 手段 ， 加 大 攻击 频率 。 甚 至 使 用 国内 主流 浏览 器 0day 漏洞 、 国 内 多 个 安全 厂商 产品 0day 
漏洞 在 内 的 多 个 0day 漏洞 针对 国内 政府 、 科 研 、 教 育 、 能 源 、 军 工 、 核 能 等 关键 行业 实施 了 高 频次 定 
向 攻击 ， 攻 击 力度 之 高 历年 罕见 。 


奇 安信 威胁 情报 中 心 通过 奇 安信 红 雨 滴 团队 和 奇 安信 安 服 在 客户 现场 处 置 排查 的 数 百 起 真实 APT 攻击 事 
件 ， 结 合 使 用 了 威胁 情报 的 全 线 产品 告警 数据 ， 最 终 基于 被 攻击 单位 、 受 控 设备 、APT 组 织 技 战 术 等 多 
个 指标 进行 分 析 可 知 : 2021 年 全 年 ， 海 莲花 、 蔓 灵 人 花 、 虎 木 樟 、Winnti、 毒 云 芯 等 组 织 ， 是 针对 我 国 
攻击 频率 最 高 、 危 害 最 大 的 APT 组 织 。 


5 全 球 高 级 持续 性 威胁 (APT) 2021 年 度 报 告 


«e» xcti s Met 


接 下 来 ， 我 们 通过 奇 安信 红 雨 滴 团 队 的 真实 APT 攻击 处 置 案例 ， 逐 一 盘点 2021 年 紧 盯 我 国 的 全 球 APT 
组 织 。 


(9 APT-Q-31 Gt) 


关键 词 : 0day、 供 应 链 

海 莲 花 在 2021 年 的 攻击 频率 达到 历史 之 最 ， 除 了 对 重点 目标 进行 渗透 外 ， 还 会 对 终端 管理 软件 公司 、 
安全 公司 、 科 技 公 司 进 行 全 方位 的 攻击 ， 并 成 功 入 侵 其 代码 服务 器 和 开发 人 员 ， 其 目的 是 为 了 修改 软件 
源 代 码 从 而 发 起 供应 链 打击 ， 与 此 同时 还 会 挖掘 政 企 单位 常用 软件 的 漏洞 ， 这 类 定制 化 漏洞 极其 隐蔽 ， 
在 排查 过 程 中 难以 发 现 ， 下 图 为 某 软 件 RCE day 漏洞 修复 前 后 代码 对 比 图 。 


4| 0061032F sub 0061032F 


He as enex) sai mei 
K Li cw Eric] D ener ce Enc 
Li E E relax 


primary 


sub 00610381 00610381 


condary 


» 
四 


四 


E] 1.7 某 软件 RCE Oday 漏洞 修复 前 后 代码 对 比 
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经 过 奇 安信 威胁 情报 中 心 研判 , 在 2021 年 间 海 莲花 使 用 了 至 少 两 个 软件 级 别 的 Oday 漏洞 , 对 科研 \、 环境 、 
能 源 、 通 信 、 地 质 、 石 油 、 林 业 、 航 空 、 军 工 、 高 校 、 金 融 、 科 技 等 领域 发 起 核弹 级 别 的 渗透 攻击 活动 。 
由 于 各 单位 之 间 会 相互 派驻 人 员 进 行 学 术 交 流 或 者 技术 支撑 ， 极 大 扩展 了 海 莲 伦 在 内 网 横向 移动 过 程 中 
的 攻击 面 ， 最 终 导 致 失陷 主机 成 倍增 加 。 


Pp 
L3 


un 


1.8 APT-Q-31 ( 海 莲花 ) 攻击 流程 


ERER, MEE 2021 年 新 使 用 了 三 个 新 模块 ， 对 抗 分 析 和 收集 信息 的 能 力 进一步 提升 。 


文件 类 型 加 载 方式 功能 

PowerShell PowerShell 收集 浏览 器 信息 

DLL PowerShell 反射 在 目标 服务 器 添加 用 户 
DLL PowerShell 反射 挂 起 系统 日 志 进程 


A 表 1.9 2021fE APT-Q-31 ( 海 莲花 ) 新 增 恶意 模块 


其 中 ,， 挂 起 系统 日 志 进程 模块 的 发 现在 一 定 程度 上 解释 了 为 什么 几乎 每 台 受 害 机 器 上 都 有 关键 eventLog 
缺失 ， 相 关 代 码 如 下 : 


了 全 球 高 级 持续 性 威胁 (APT) 2021 年 度 报 告 


ve[vi + 1] - aSuspendMode[v1 + 1]; 


( v2) 
break; 
vl += 2164; 


E33 
sub _  180001110( auriga b aa 
if ( v4 ) 

sub 180001830(v4, v3); 
eturn Block 


1.10 APT-Q-31 CRET) 挂 起 系统 日 志 进 程 模块 代码 片段 


此 外 ， 海 莲花 还 会 试图 在 系统 文件 如 calc.exe 中 通 


APT-Q-37 (SERË) 


SERIE 


鱼 叉 邮 件 ， 攻 击 频率 非常 高 ， 但 木马 免 杀 水 平 较 差 ， 目 前 没有 观察 到 该 团伙 具备 内 网 横 


攻击 流程 如 下 。 


(CmdLine, &pNumArgs)[1] 


过 代码 插 桩 的 方式 执行 ShellCode， 实 现 管道 连接 。 
奇 安 信 威 胁 情报 中 心 会 在 近期 披露 该 团伙 的 最 新 动向 。 


SR ÝE (bitter) 团伙 在 2021 年 间 主 要 针对 军工 、 政 府 单 位 、 科 研 院 所 等 单位 发 起 攻击 。 攻 击 手法 主要 为 


向 移动 的 能 力 ， 


第 一 章 中 国境 内 高 级 持续 性 威胁 综述 / o Ens 


D uy 6 C 


Bitter APT 组 织 


e 


C&C 


cmd.exe 


执行 命令 | 
C# 


执行 tasklist、find 等 
24^ 
命令 


SEDE 


» 
内 


" 
卖 | 


生 威胁 (APT) 2021 年 度 报 告 


钓鱼 邮件 恶意 Chm 文 件 PUES IN 
[| 人 一 站 m 
msmpenq.exe onl m exe 从 C&C 下 载 的 Msi 程 
mue = 


winsync.exe 


sysmgr.exe 


*| 1.11 APT-Q-37 (ERE) 攻击 流程 


基于 邮件 我 们 捕获 到 的 诱饵 如 下 。 


文件 名 


下 XXXXX f£ .doc/supply enquiry.doc 


20210408.rar 


20210324.rar 


20210330.rar 


20210405.rar 


20210414.rar 


20210419.rar 


20210424.rar 


20210426.rar 


D 


C&C 


appsync.vbs cmstp 


MD5 


72951851EB3F1601BE564A60A60A7B22 


D91B888205AC1CA80C40426B9F5A6105 


08BC2D5087DFDFO6GCBDIEIF8A9F2C882 


CB585E3B9401AFC6CECBAD5B99F5A6 7D 


C6148E79292E202789E3E322BE23D28D 


6A8D98542AFC5B2F6C7F3B562D628465 


A48T04F8CCA41ADAODBB122F8C7927B0 


EB984DF3320EE4EAT96E1C56DAEF5BAE 


F2CCE3ES8F8BEO2EA41FBAA4FB37FOAF8 76 


powershell 


«[» 


msiexec 执 行 


winapirun.exe 


年 度 报告 


Invoice.rar 


20210224.rar 


XXXX 通知 .rar 


20210525.rar 

20210526.rar 

20210621.rar 

supply enquiry.rar 
Radiometric calibration.rar 
Tender. enquiry.rar 

下 XXXXX f2 20210616.rar 
下 XXXXX 程 zip 


Salient point on ATGM System.rar 


A 表 1.12 2021 年 APT-Q-37 (ER) 相关 诱 4 


《后 > 奇 安 信 威 胁 情报 中 心 


160610CD728A06B86CF5AC08B62C62A3 


464FD3303C64FB6DD228D563F4389CB7 


AB602191E08EA8B9B18B40728252048A 


B43FD5AEAD7227765FDE04648401AB6D 


39149CF63232B203B3AT76ACBODC5FAE5 


TABF5B34B8ECISAAECBDDECAAE452CA2 


ADS5CACETTAA40E9F90B622E1A7AFD359F 


DF606C271BAA78540F0557F2A0FA4D63 


C816CT73F9DA083ECE3E9016946 75FB75 


9D8D2F6DE547DC92137B5194C55E9A3C 


056CA31A3A93B1176622EC1B08B33B29 


4F155DEB15DB00F52755760AE4D907AA 


文件 


诱饵 通常 包含 带 有 11882 漏洞 的 RTF 文档 、SFX 打包 的 可 执行 程序 、 以 及 CHM 文件 , 由 于 手法 较为 陈旧 ， 


往往 在 文件 落地 时 就 被 奇 安信 天 和 擎 查 杀 。 


APT-Q-11 (RA) 


关键 词 : 浏览 器 、0day 


ENE APT 组 织 最 早 被 奇 安信 威胁 情报 中 心 披露 于 2019 年 ， 主 要 针对 朝鲜 、 中 国 、 越 南 等 国家 进行 情 


报 刺 探 活 动 ， 攻 击 水 平 较 高 。 该 组 织 善 


于 挖掘 利用 浏览 器 0day 漏洞 ， 在 2019 年 和 2020 年 分 别 使 用 了 


部 分 浏览 器 的 Oday 漏洞 对 科研 院 所 、 高 校 、 政 府 单位 进行 渗透 活动 。2021 年 该 组 织 将 目标 转向 了 媒体 
和 医疗 机 构 ， 捕 获 到 的 攻击 方式 有 以 下 几 种 : 


* 利用 某 流 行 浏览 器 0day 漏洞 横向 移动 。 


" MEAN OA 蔡 换 网 盘 目录 下 的 常用 工具 。 
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&| 1.13 2021fE APT-Q-11 (ÆRE) d 


流程 图 


Inu 


在 OA 云 盘 上 蔡 换 的 工具 信息 如 下 。 


文件 名 


文件 功能 


Filelocator pro 8.5 build 2912 
filelocatorproportable.exe 


Launcher. Setup (1).exe 


表 1.14 云 盘 上 被 替换 的 文件 列表 


在 后 续 下 发 payload 的 过 程 中 ， 


httpWe 
http 


文件 内 容 搜索 工具 安装 包 


文件 内 容 搜 索 工 具 安装 包 


V2Conference 视频 会 议 安 装 包 


不 知 出 于 何 种 原因 攻击 者 下 发 了 一 个 测试 版 的 下 载 者 。 


(requestUriStrinz): 


)httpWebRequest. 


(httpVebResponse. 


streamReader. 
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Z| 1.15 APT-Q-11 (ÆW) 测试 版 下 载 者 代码 片段 


完整 功能 的 下 载 者 通信 时 内 置 的 证 书 如 下 。 


E 
BE 
RI 


Z 1.16 下 载 者 所 用 证 书 


奇 安信 威胁 情报 中 心 会 在 2022 年 择机 披露 该 组 织 过 去 三 年 的 攻击 活动 。 


APT-Q-22 


关键 词 : 0day、 鱼 叉 邮 件 

APT-Q-22 是 由 奇 安 信 威 胁 情 报 中 心 命名 且 目 前 尚未 公开 的 APT 团伙 ， 最 早 活跃 于 2020 年 ， 两 年 间 使 
用 Web Æ 0day 攻击 和 鱼 叉 邮 件 的 方式 对 政府 、 环 境 、 互 联网 等 单位 进行 攻击 ， 编 码 能 力 一 般 ， 攻 击 流 
程 如 下 : 
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A. 图 1.17 2021 年 APTQ-22 组 织 攻击 流程 


网 


捕获 的 鱼 又 邮件 中 所 用 的 诱饵 名 称 如 下 : 


文件 名 


2020 年 中 秋 期 间 XXXXXXXXXXXXXXXXXX 清单 .doc 

关于 加 强 2021 年 XXXXXXXXXXXXX.doc 

XXXX 对 《关于 实施 “XXXX”XXXXXXXXXXXXX (征求 意见 稿 ) 》 的 回应 .doc 
《XXXXX SSL VPN XXXX 手册 》.doc 


XX2020 年 XXXXXXX 薪资 调整 XXXXX.hta 


A. 表 1.18 APT-Q-22 组 织 相关 诱饵 文档 信息 


攻击 者 通过 将 恶意 代码 存储 在 文档 元 数据 中 ， 从 而 躲避 杀 软 查 杀 。 


oowershell -nOp -w hiDDen -eNc 
创建 内 容 的 时 间 2021/8/27 7:48 
最 后 一 次 保存 的 日 期 2021/8/30 10:16 


A. 图 1.19 APT-Q-22 组 织 免 杀 宏文 档 截图 


13 全 球 高 级 持续 性 威胁 (APT) 2021 FERS 


«e» 奇 安 信 威 胁 情报 中 心 


奇 安信 威胁 情报 中 心 会 在 2022 年 择机 披露 该 团伙 最 近 两 年 的 活动 。 


APT-Q-29 (Winnti) 


关键 词 : 区 块 链 、 人 金融 、 证 券 、 游 戏 、 数 字 签名 

APT-Q-29(Winnti Group), 作为 老牌 的 APT 组 织 , M 2013 年 至 今 使 用 多 个 Oday 漏洞 对 中 国 的 游戏 行业 、 
区 块 链 、 互 联网 金融 、 企 业 财务 、 运 维 人 员 、 科 技 公司 、 证 券 交易 所 等 单位 进行 攻击 。 其 攻击 目的 主要 
为 敛财 ， DTRASUANASTLTS 取 的 数字 签名 ， 故 免 杀 效果 显著 ，2021 年 我 们 捕获 了 该 组 织 的 
针对 游戏 行业 的 新 活动 ， 攻 击 流程 如 下 : 


释放 
边界 设备 
pook.exe NetProxiesSvc.dll 
cobalt strike 域 管 2 
cc 


1 


Ó : à c 


A. E] 1.20 2021 年 APT-Q-29 (Winnti) 攻击 流程 


网 


系统 DLL 劫持 套件 如 下 : 
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%SystemDrive%\SSPICLI.dll %systemroot%system32\C_26849.nls 
%SystemDrive%\profapi.dll %systemroot%system32\imseo21.ime 
%SystemDrive%\Secur32.dll %systemroot%system32\chrsben.dll 


%systemroot%system32\wlanseo.dll 


表 1.21 APT-Q-29 (Winnti) 支持 的 系统 DLL 


我 们 首次 发 现 了 该 团伙 使 用 的 新 型 轻 量 化 后 门 ， 我 们 将 其 命名 为 Broker Rat。 


0x104ui64); 
(ServiceName, (L 


图 1.22 Broker Rat 后 门 代码 截图 


在 2021 年 下 半年 ， 我 们 披露 了 针对 证 券 、 金 融 行业 的 定向 攻击 组 织 APT-Q-28， 后 续 我 们 通过 奇 安信 
大 数据 关联 平台 最 终 找到 了 APT-Q-28 与 APT-Q-29 同 源 的 证 据 ， 可 以 将 APT-Q-28 报告 的 内 容 当 作 
APT-Q-29 组 织 执行 后 渗透 的 攻击 流程 。 故 我 们 正式 将 其 合并 为 一 个 组 织 。 


奇 安信 威胁 情报 中 心 会 在 未 来 一 段 时 间 内 公布 该 组 织 从 2017 年 至 今 的 活动 。 


《后 > 奇 安 信 威 胁 情报 中 心 


三 、2021 年 境内 受害 行业 分 析 


进一步 通过 奇 安信 威胁 雷达 的 遥测 感知 和 奇 安信 红 雨 滴 团 队 基 于 客户 现场 的 APT 攻击 线索 ， 并 结合 使 用 
了 奇 安信 威胁 情报 的 全 线 产 品 告警 数据 进行 分 析 : 2021 年 涉及 我 国政 府 、 卫 生 医 疗 部 门 、 高 兴 科技 企 
业 的 高 级 威胁 事件 仍然 占 主要 部 分 ， 其 中 来 自 东 亚 、 南 亚 和 东南 亚 地 区 的 APT 组 织 针 对 我 国 攻击 最 为 活 
跃 。 相 关 受 影响 的 境内 行业 分 布 如 下 。 


2021 年 高 级 威胁 事件 涉及 境内 行业 分 布 情况 


国防 5% 商贸 4% 
通信 5% 
运输 7% 
政府 30% 
my" 能 源 13% 


> 
四 


1.23 2021 年 高 级 威胁 事件 涉及 境内 行业 分 布 情况 


基于 上 述 数 据 分 析 ， 针 对 我 国境 内 攻击 的 APT 组 织 活跃 度 排 名 及 其 关注 的 行业 领域 如 下 : 


组 织 名 称 
TOP1 APT-Q-31 ( 海 莲花 ) 政府 、 科 研 、 海 事 机 构 
TOP2 APT-Q-20 ( &z f& ) 国防 、 政 府 、 科 技 、 教 育 
TOP3 APT-Q-28 (EICAR) 金融 、 证 券 、 软 件 、 游 戏 
TOP4 APT-Q-10 (Darkhotel) 军事 国防 、 能 源 、 政 府 
TOP5 APT-Q-37 ( &x 1E.) 政府 、 电 力 和 工业 相关 
TOP6 APT-Q-3 (Group123) 工业 、 外 区 
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排名 组 织 名 称 涉及 行业 

TOP7 APT-Q-21 ( HEZE ) 政府 、 军 工 、 科 研 以 及 金融 
TOP8 APT-Q-40 ( EE fb ) 政府 、 军 工 、 核 能 、 商 贸 
TOP9 APT-Q-2 (Kimsuky) 国防 、 教 育 

TOP10 APT-Q-38 ( 肚 脑 虫 ) 政府 

TOP11 APT-Q-36 ( Bis ) 政府 、 和 军事、 科研 、 教 育 
TOP12 APT-Q-39 ( 响尾蛇 ) 政府 、 军 事 


会 表 1.24 活跃 组 织 排名 及 针对 的 目标 行业 


o 
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第 二 章 全 球 高 级 持续 性 威胁 综述 


公开 来 源 的 APT 情报 (以 下 简称 “开源 情报 ”) 分 析 是 了 解 全 球 网 络 安 全 研究 机 构 安 全 关注 ， 认 知 全 球 
高 级 持续 性 威胁 发 展 趋势 的 重要 手段 之 一 。2021 年 ， 奇 安信 威胁 情报 中 心 对 全 球 200 多 个 主要 的 APT 
类 情报 来 源 进 行 了 持续 监测 ， 监 测 内 容 包 括 但 不 限于 APT 攻击 组 织 报告 、APT 攻击 行动 报告 、 疑 似 APT 
的 定向 攻击 事件 、APT 攻击 相关 的 恶意 代码 和 漏洞 分 析 ， 以 及 我 们 认为 需要 关注 的 网 络 犯罪 组 织 及 其 相 
关 活 动 。 


本 章 内 容 及 结论 主要 基于 对 上 述 开源 情报 以 及 内 部 威胁 雷达 数据 的 整理 与 分 析 。 


一 、 全 球 高 级 威胁 研究 情况 


奇 安信 威胁 情报 中 心 在 2021 年 监测 到 的 高 级 持续 性 威胁 相关 公开 报告 总 共 434 篇 。 各 月 监测 数据 如 下 
图 所 示 。 


2021 年 全 球 公开 的 高 级 威胁 报告 数量 月 度 统计 


»- 


Z| 2.1 2021 年 全 球 公开 的 高 级 威胁 报告 数量 月 度 统计 
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二 、 受 害 目标 的 行业 与 地 域 


2020 年 ， 新 冠 疫情 席卷 全 球 ， 从 而 带 来 新 的 网 络 攻 击 变化 ， 其 影响 2021 年 仍 在 延续 。 通 过 开源 情报 数 
据 显 示 : 在 全 球 2021 年 披露 的 APT 相关 活动 报告 中 ， 涉 及 政府 (包括 外 交 、 政 党 、 选 举 相 关 ) 的 攻击 
事件 占 比 为 23%， 其 次 是 医疗 卫生 行业 的 事件 占 比 为 18%、 科 技 占 比 14%， 涉 及 航空 行业 的 事件 明显 
增多 ， 较 之 2020 年 增长 了 3 倍 ， 超 越 了 以 往 的 占 比 。 另 一 个 增长 较 多 的 行业 是 科技 ， 增 长 了 2 倍 。 其 
他 国防 、 制 造 、 教 育 、 运 输 、 通 信 、 能 源 等 领域 受 攻击 程度 与 去 年 持平 。 


2021 年 高 级 威胁 事件 涉及 行业 分 布 情况 如 下 图 所 示 。 


2021 年 高 级 威胁 事件 涉及 行业 分 布 情况 


、 能 源 4% 
通信 4% ni 


航空 5% 
育 4% 


运输 5% 


制造 7% . i 
医疗 18% 


国防 8% 科技 14% 


新 一 代 网 络 安 全 领军 者 


会 图 2.2 2021 年 全 球 高 级 威胁 事件 涉及 行业 分 布 


高 级 威胁 活动 涉及 目标 的 国家 和 地 域 分 布 情况 统计 如 下 图 〈 摘 录 自 公开 报告 中 提 到 的 受害 目标 所 属国 家 
或 地 域 ) ， 可 以 看 到 高 级 威胁 攻击 活动 几乎 覆盖 了 全 球 绝 大 部 分 国家 和 区 域 。 
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《后 > 奇 安 信 威 胁 情报 中 心 


全 图 2.3 2021 年 公开 披露 的 高 级 威胁 活动 针对 的 国家 和 地 区 
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三 、 活 跃 高 级 威胁 组 织 情况 


本 次 报告 对 开源 情报 中 所 提 六 的 所 有 APT 组 织 及 相关 行动 进行 了 分 析 和 整理 。 其 中 ， 提 六 率 最 高 的 5 个 
APT 组 织 分 别 是 : Lazarus 9.6%，APT29 8.7%，Kimsuky 6.3%， 肚 脑 虫 5.4%， 海 莲花 3.2%。 


2021 年 公开 报告 披露 的 高 级 威胁 组 织 活跃 情况 


Lazarus 
APT29 
Kimsuky 
肚 脑 虫 
海 莲花 
0% 2% 4% 6% 8% 10% 12% 
“和 p> 奇 安信 


A 图 2.4 2021 年 全 球 活跃 高 级 威胁 组 织 


进一步 对 公开 报告 中 高 级 威胁 活动 中 命名 的 攻击 行动 名 称 、 攻 击 者 名 称 ， 并 对 同一 背景 来 源 进行 归 类 处 
理 后 的 统计 情况 如 下 ， 总 共 涉 及 116 个 命名 的 威胁 来 源 命 名 ， 较 2021 年 数量 有 所 增长 。 
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《后 > 奇 安 信 威 胁 情报 中 心 


eg LazyScri| 


Se FIN8 
venit 


flee 


f.) 


Harvester 
DarkOxi 


A. 图 2.5 2021 年 公开 披露 的 高 级 威胁 类 攻击 组 织 和 行动 


四 、 高 级 威胁 年 度 活动 特点 


针对 源 代 码 的 供应 链 攻击 呈 上 升 趋势 


2020 年 12 月 ，FireEye 披露 了 一 起 针对 SolarWinds 的 供应 链 攻击 。 这 个 有 着 超 高 专业 度 的 攻击 事件 再 
次 将 供应 链 攻击 拉 入 到 大 众 视野 范围 内 。 受 此 影响 ， 针 对 供应 商 的 供应 链 攻击 也 逐渐 主流 化 。 


2021 年 多 家 安全 厂商 先 后 披露 了 针对 开源 代码 或 开发 软件 的 供应 链 攻击 事件 ，npm、Git、PyPl、 
RubyGems 等 公共 存储 库 被 用 于 托管 恶意 软件 包 ， 攻 击 者 通过 混淆 开发 人 员 在 软件 开发 过 程 中 建立 的 依 
赖 关 系 ， 实 现 了 从 源头 植 入 恶意 代码 进行 供应 链 攻击 。 


除 此 之 外 ， 多 款 开发 软件 也 开始 成 为 攻击 目标 ，Xcode、iterm 等 iOS 开发 软件 被 植 入 恶意 脚本 以 安装 
后 门 软件 ， 后 门 具 有 键盘 记录 ， 上 传 、 下 载 文件 等 功能 。 攻 击 者 意 在 针对 开发 人 员 寻 找 高 价值 目标 进行 
攻击 。 
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2021 年 监测 到 的 针对 开源 代码 的 攻击 事件 如 下 表 。 


事件 名 称 披露 时 间 攻击 目的 

新 的 恶意 npm 软件 包 针 对 Amazon 和 Slack 等 应 用 H 2021.03 数据 窃取 

针对 iOS 开发 人 员 的 供应 链 攻击 活动 外 2021.03 数据 窃取 

PHP 官方 Git 存储 库 遭 到 供应 链 攻击 ， 代 码 库 被 算 改 DI 2021.03 投放 后 门 木马 

恶意 npm 包 利 用 ChromePass 程序 从 浏览 器 窃取 凭据 l! 2021.07 数据 窃取 

仿冒 term2 应 用 通过 钓鱼 网 站 传播 回 2021.09 数据 窃取 

攻击 者 劫持 npm 账户 ， 分 发 挖 矿 软件 及 后 门 器 2021.10 投放 挖 矿 及 后 门 木 马 
npm 知名 仓库 coa, rc 遭遇 恶意 投 毒 攻击 Ul 2021.11 数据 窃取 


会 表 2.6 2021 年 开源 代码 供应 链 攻 击 事件 


从 遭受 到 供应 链 攻击 的 行业 来 看 ， 金 融 、 能 源 以 及 运输 行业 受到 的 影响 相 比 2020 年 明显 增多 。 奇 安信 
威胁 情报 中 心 红 雨滴 团队 在 2021 年 披露 了 新 的 APT 组 织 EICAR， 该 组 织 主 要 针对 金融 、 证 券 、 软 件 、 
游戏 等 行业 ， 进 行 以 敛财 为 目的 供应 链 攻击 活动 。 


航空 产业 已 成 境外 情报 机 构 重点 攻击 目标 


2021 年 Lazarus、TA456 等 威胁 组 织 对 全 球 各 地 的 航空 公司 发 动 了 多 起 网 络 攻击 ， 举 试 从 航空 公司 窃取 
机 密 情 报 。 受 到 疫情 大 环境 的 影响 ， 各 大 航空 公司 的 排 班 有 所 波动 ， 出 国旅 游 、 度 假 的 人 口 大 量 减少 。 
这 使 得 疫情 期 间 航 空 公司 出 行 信息 的 质量 大 幅度 上 升 ， 也 让 众多 威胁 组 织 盯 上 了 航空 公司 的 出 行 数据 。 
新 披露 的 组 织 包括 LazyScripter. ChamelGang 等 。 


事件 名 称 披露 时 间 披露 厂商 
威胁 组 织 针对 国防 和 航空 组 织 使 用 的 恶意 软件 ncc Trojan I8! 2021.02 NTT 

新 APT 组 织 LazyScripter 瞄准 航天 交通 行业 9) 2021.02 Malwarebytes 
针对 航空 公司 的 鱼 叉 式 网 络 钓鱼 活动 101 2021.06 Fortinet 

Lazarus 针对 航空 航天 行业 的 攻击 HH 2021.07 360 高 级 威胁 团队 
TA456 针对 美国 国防 承包 商 的 攻击 活动 分 析 21 2021.07 Proofpoint 

Earth Baku 组 织 针对 印 太 地 区 航空 、IT 等 行业 [3 2021.08 Trend 
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《后 > 奇 安 信 威 胁 情报 中 心 


事件 名 称 披露 时 间 披露 厂商 
Operation Layover: 针对 航空 业 长 达 5 年 的 网 络 攻击 活动 141 2021.09 Talos 

新 APT 组 织 ChamelGang 瞄准 俄罗斯 能 源 和 航空 行业 H 2021.09 PT ESC 
MalKamak 针对 航空 航天 和 电信 公司 的 GhostShell 活动 (16) 2021.10 Cybereason 
Lyceum 组 织 回归 ， 利 用 新 恶意 软件 针对 中 东 地 区 电信 及 航空 公司 1 2021.10 Kaspersky 


A R27 2021 年 针对 航空 产业 的 攻击 事件 


新 型 APT 组 织 提供 破坏 服务 以 敛财 为 目的 


在 去 年 的 总 结 报告 中 ， 我 们 认为 通过 定向 勒索 攻击 获取 经 济 利 益 成 为 了 APT 组 织 活 动 的 新 趋势 。 而 
2021 年 我 们 发 现 除了 定向 勒索 ， 有 的 组 织 开始 向 其 他 APT 组 织 出 售 特定 服务 ，APT 组 织 之 间 出 现 了 “ 商 
业 伙 伴 关 系 ”。 


其 中 ， 有 一 类 新 出 现 的 组 织 向 更 高 级 的 APT 组 织 提 供 破 坏 服务 。 他 们 有 些 收集 凭据 ， 然 后 将 其 出 售 给 其 
他 犯罪 组 织 ， 还 有 些 则 会 提供 黑客 即 服务 ， 为 特定 的 国家 或 组 织 服 务 。 


例如 Lorec53 组 织 是 2021 年 上 半年 一 个 非常 活跃 的 新 型 APT 组 织 。 该 组 织 担 任 网 络 攻 击 中 信息 搜集 的 
角色 ， 通 常 以 合作 或 雇佣 的 方式 参与 到 其 他 黑客 组 织 甚至 更 高 级 的 APT 组 织 的 攻击 活动 当中 。 


无 独 有 偶 ， 已 被 认为 是 APT 的 Gamaredon 拥有 庞大 的 基础 设施 ， 有 600 多 个 与 其 活动 相关 的 活动 域 。 
在 一 份 新 的 研究 报告 中 ， 该 组 织 除 开 APT 的 定位 以 外 ， 还 是 一 个 为 其 他 APT 提供 服务 的 团体 ， 同 时 会 
对 自己 感 兴趣 的 目标 发 起 攻击 活动 。 


与 Lorec53 组 织 不 同 ，Zebra2104 组 织 专门 提供 初始 访问 代理 (IAB) 服务 ， 而 不 参与 具体 的 攻击 活动 。 


值得 注意 的 是 ，APT 组 织 StrongPity 曾 利用 Zebra2104 组织 提供 的 基础 设施 扩大 其 攻击 面 。 这 表明 
APT 组 织 寻求 服务 的 对 象 不 止 这 类 新 型 的 APT 组 织 ， 还 有 如 Zebra2104 这 类 的 第 三 方 威胁 组 织 。 


在 野 0day 漏洞 攻击 盛 极 一 时 


Oday 及 高 危 漏洞 依然 深 受 APT HR Ek 2021 年 以 来 ，0day 漏洞 攻击 趋势 比 以 往 更 盛 ，APT 组 织 在 
野 利用 的 Oday 漏洞 数量 超过 70 个 ， 这 在 网 络 安 全 历史 上 是 前 所 未 见 的 。 其 不 仅 体现 在 漏洞 数量 多 ， 而 
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且 漏 洞 类 型 几乎 覆盖 具有 垄断 市 场 份额 地 位 的 系统 和 产品 ， 包 括 浏览 器 (Chrome/IE/Safari). Windows 
操作 系统 、Windows Exchange Server, Microsoft Office. Adobe Reader, Apache HTTP Sever, 
iOS, Android 等 。 在 野 0day 漏洞 利用 的 整体 趋势 为 以 Windows 平台 为 基础 ，Chrome/Safari 浏览 
为 主流 向 多 平台 延伸 。 

不 难看 出 ，0day 漏洞 作为 APT 组 织 提 升 攻 击 能 力 的 一 大 武器 ， 不 仅 一 些 成 熟 的 APT 组 织 ， 包 括 本 身 便 


具有 及 以 往 不 具备 0day 漏洞 利用 能 力 的 组 织 ， 还 有 一 些 新 组 织 都 在 追求 0day 资源 ， 不 断 发 展 自身 ， 
不 断 更 新 其 攻击 武器 和 手段 。 这 已 经 成 为 了 APT 组 织 的 一 大 趋势 。 


|) APT 组 织 攻 击 武 器 、 手 段 持续 更 新 升级 


新 的 攻击 武器 和 手段 是 APT 组 织 提高 攻击 能 力 的 另 一 大 途径 ， 很 多 组 织 都 保持 着 一 定 的 更 新 频率 。 更 新 
内 容 包 括 但 不 限于 , 武器 库 (后 门 、 远 控 、 漏洞 等 ) 、 新 技术 手段 (检测 绕 过 方式 、 执 行 方 式 、 加 密 方式 ) 、 
新 目标 平台 。 根 据 数 据 显 示 较 为 活跃 的 APT 组 织 ， 其 更 新 频率 也 较 高 。 

更 新 频率 较 高 的 几 个 APT 组 织 如 下 : 

=" Lazarus 

* Kimsky 

= C-Major 


. SRE ETC. Fej]ë € 


其 更 新 内 容 情况 如 下 图 ， 主 要 是 增加 新 武器 ， 或 对 已 有 武器 进行 升级 ， 并 表现 出 多 样 化 组 合 方式 的 特点 。 
技术 手段 的 更 新 则 以 执行 方式 为 主 。 
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2021 年 高 级 威胁 组 织 技 战术 和 武器 库 更 新 占 比 


目标 平台 7% 


技术 手段 15% 


武器 库 78% 


代 网 络 安 全 领军 者 


A. 图 2.8 2021 年 高 级 威胁 组 织 技 战术 和 武器 库 更 新 占 比 


五 、2021 年 全 球 受害 行业 分 析 


APT 威胁 是 定向 性 的 ， 其 会 选择 攻击 的 行业 、 地 域 、 目 标 以 及 要 达到 的 目的 ， 这 些 是 由 APT 组 织 在 实施 
行动 前 制定 的 需要 达到 的 阶段 性 目标 和 动机 所 决定 的 。 从 历史 经 验 来 看 ，APT 组 织 在 一 段 时 间 内 会 保持 
其 攻击 目标 行业 的 专注 程度 ， 这 可 能 也 与 攻击 组 织 在 针对 新 的 行业 实施 攻击 时 ， 需 要 时 间 收 集 和 熟悉 目 
标 ， 并 弥补 自身 能 力 与 目标 行业 的 缺失 部 分 ， 以 及 构建 相应 的 攻击 武器 库 。 


2020 年 , 医疗、 网络 安全 和 互联 网 这 三 个 行业 是 APT 威 胁 的 主要 行业 目标 ,但 在 2021 年 , 受 疫 情 复发 影响 ， 
APT 组 织 的 关注 度 发 生 了 转变 ， 医 疗 卫 生 行 业 还 是 APT 组 织 关 注 的 首要 目标 ,与 疫苗 研制 、 高 级 医学 研 
究 等 相关 的 活动 非常 活跃 。 此 外 ， 网 络 安全 、 互 联网 、 能 源 与 网 络 安全 等 行业 也 成 为 2021 年 APT 活动 
关注 的 新 兴 热 点 ， 出 现 了 很 多 新 的 攻击 特点 ， 发 生 了 多 起 影响 深远 的 APT 攻击 事件 。 


政府 机 构 


政府 是 国家 表示 意志 、 发 布 命令 、 和 处 理事 物 的 机 关 。 无 论 哪 一 年 ， 政 府 都 是 网 络 攻击 的 首要 目标 。 每 
年 都 会 有 大 量 针对 政府 的 威胁 分 析 报 告发 布 ， 为 网 络 安全 防御 鸣 响 警钟 。 
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2021 年 6 月 , 国外 安全 厂商 Lumen 的 研究 人 员 发 现 针对 南亚 和 中 亚 地 区 的 政府 和 能 源 组 织 的 攻击 活动 。 
此 次 攻击 至 少 在 2021 年 1 月 开始 ， 主 要 针对 政府 、 电 力 调度 和 电厂 等 组 织 ， 受 害 者 主要 分 布 在 印度 其 
次 为 阿富汗 。 


2021 £ 7 H, Google 安全 研究 人 员 发布 了 有 关 4 0day 被 在 野 利用 的 详细 信息 。 东 欧 地 区 的 黑客 团 
伙 Nobelium 利 用 Safari 中 的 0day, 通 过 Linkedln Messaging 发 送 恶意 链接 来 攻击 西欧 国家 的 政府 官员 。 


2021 年 年 末 ， 国 内 安全 厂商 发 布 了 响尾蛇 组 织 的 历史 活动 总 结 ， 其 报告 表明 2021 年 中 ， 该 组 织 向 中 国 
的 相关 机 构 发 起 了 情报 窃取 的 定向 攻击 活动 。 


医疗 行业 


2020 年 新 冠 疫情 在 世界 各 地 肆虐 ， 全 球 泛滥 。 针 对 疾 控 与 防疫 机 构 、 病 毒 研究 机 构 、 疫 苗 研发 机 构 和 
其 他 相关 的 医学 研究 机 构 的 高 级 威胁 活动 持续 不 断 。 在 2020 年 中 ， 整 个 医疗 行业 成 为 了 APT 攻击 活动 


2021 年 , 新 冠 疫情 继续 在 全 球 肆 虐 与 反复 , 临近 年 底 , 最 新 变异 毒 株 奥 密 克 戎 \Omicron) 以 “闪电 之 势 ” 
全 球 传播 ， 感 染病 例 急 剧 增加 。 


2021 年 初 ， 韩 国 国家 情报 局 (NIS) 在 国民 议会 情报 委员 会 的 会 议 中 披露 ， 东 亚 地 区 的 黑客 组 织 试图 入 
侵 制药 巨头 辉瑞 的 计算 机 系统 ， 以 查找 疫苗 与 冠状 病毒 治疗 方法 等 相关 信息 。1 月 12 日 ， 欧 洲 药品 管理 
局 宣布 ， 黑 客 泄 露 了 此 前 网 络 入 侵 中 被 资 的 新 冠 疫苗 信息 一 。 


2021 年 3 月 31 日 ， 国 外 安全 厂商 Proofpint 发 现 中 东 地 区 有 关 的 高 级 持续 威胁 组 织 针 对 美国 和 以 色 列 
相关 从 事 遗 传 学 、 神 经 病 学 和 肿瘤 学 研究 的 高 级 医学 研究 人 员 "”。 立 陶 宛 国家 安全 部 门 发 布 的 年 度 国家 
安全 威胁 评估 报告 指出 ， 有 着 国家 背景 的 APT29 组 织 利 用 立陶宛 相关 基础 设施 发 动 对 疫苗 相关 的 实体 的 
KE, 


此 外 ， 意 大 利 拉齐奥 大 区 (Lazio) 政府 曾 在 社交 媒体 宣布 ， 数 据 中 心 遭受 勒索 攻击 ， 疫 苗 预约 系统 暂 
时 停止 使 用 ， 不 排除 反 疫 苗 人 士 的 攻击 2 。 具 有 东亚 地 区 背景 的 APT 组 织 针对 生物 行业 相关 人 员 进 行 
钓鱼 攻击 的 。 年 末 也 不 乏 针对 医疗 行业 的 攻击 ， 东 欧 地 区 相关 组 织 和 未 知 攻击 者 冒充 疫苗 制造 者 或 使 用 
COVID-19 疫苗 相关 话题 进行 信息 窃取 或 者 以 经 济 利益 为 目的 攻击 。 
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科技 行业 


信息 技术 的 迅速 发 展 ， 互 联网 产业 的 兴起 ， 影 响 着 世界 产业 经 济 的 增长 。 软 件 等 服务 行业 崛起 ， 也 标志 

着 日 益 增 多 的 网 络 安全 需求 。 上 游 产 业 快速 发 展 ， 也 表明 了 下 游客 户 的 使 用 数量 增长 和 活跃 度 。 如 果 具 
恶意 攻击 目的 的 恶意 黑客 组 织 掌握 了 上 游 公司 的 生产 代码 或 者 是 0day 漏洞 ， 又 或 者 获取 到 各 大 公司 

权限 ， 即 可 入 侵 其 内 网 相关 的 信息 。 不 过 随 着 安全 意识 的 增加 ， 科 技 公司 受到 的 本 质 危害 较 少 发 生 。 


1) 游戏 行业 

年 初 ， 国 外 安全 厂商 的 报告 称 ， 此 前 一 系列 针对 电子 游戏 公司 的 勒索 软件 攻击 与 某 以 经 济 利益 为 主要 目 
的 的 黑客 组 织 相 关 。 受 害 公 司 甚 至 包括 了 “世界 上 最 大 的 公司 之 一 ”。 这 些 勒索 攻击 的 初始 攻击 始 于 第 
三 方 服务 商 。 通 过 攻击 第 三 方 服务 商 进 行 后 续 的 供应 链 攻击 91 


在 上 述 事件 发 生 不 久 ， 著 名 的 安 卓 模拟 器 NoxPlayer( 夜 神 模 拟 器 ) 被 爆 出 遭受 入 侵 。NoxPlayer 是 一 家 
全 球 知名 的 PC 端 安 卓 模拟 器 公司 。 国 外 安全 厂商 ESET 进行 报告 披露 ， 黑 客 组 织 通过 入 侵 官 方 API (api. 
bignox.com) 和 文件 托管 服务 器 ， 自 改 了 API 服务 器 中 NoxPlayer 的 下 载 地 址 ， 用 户 使 用 更 新 时 ， 自 
动 下 发 恶意 软件 。 不 同 国家 都 有 遭受 攻击 的 受害 者 PU, 


2) 服务 供应 商 
虽然 SolarWinds 供应 链 攻击 在 2020 年 末 首 次 披露 ， 但 在 2021 年 初 ， 后 续 影 响 也 在 陆续 曝光 ， 也 还 存 
在 许多 疑问 。 


年 中 期 间 ， 国 外 安全 厂商 Mandiant 披露 了 DarkSide 针对 闭路 电视 供应 商 的 供应 链 攻击 。 入 侵 受 害 者 
公司 ， 并 在 其 自 定 义 版 本 的 应 用 程序 中 植 入 了 恶意 代码 ， 并 在 24 小 时 之 内 进行 横向 移动 ， 后 续 部 署 键 
盘 记 录 器 ，CS Beacon 等 常见 工具 。 受 害 厂商 进行 应 急 响 应 ， 避 免 了 勒索 软件 攻击 。Mandiant 将 此 次 
攻击 活动 归属 到 UN2465 组 织 所 。 


宏基 Acer E REvil 勒索 软件 攻击 ， 被 索要 迄今 已 知 的 最 大 赎金 5000 万 美元 。 


同样 ，Kaseya 公司 遭受 到 了 著名 勒索 团队 REvil 的 攻击 。Kaseya 是 一 家 成 立 于 美国 的 软件 公司 ， 

Kaseya VSA 是 一 款 IT 运 维 管理 平台 软件 ， 许 多 托管 服务 提供 商 (MSP) 使 用 该 软件 进行 服务 管理 。 在 
这 起 事件 中 ，Kaseya VSA 软件 存在 身份 验证 绕 过 漏洞 ， 该 漏洞 允许 攻击 者 通过 软件 管理 的 主机 分 发 恶 
意 软件 ， 导 致 了 瑞典 连锁 超市 Coop 关闭 其 800 家 门店 近 一 周 。 影 响 范围 颇 大 ， 超 过 200 家 公司 收 到 此 
次 事件 的 影响 。 这 次 并 不 是 Kaseya 第 一 次 受到 攻击 ， 服 务 供应 商 更 应 当 注意 其 代码 审计 与 应 急 响 应 流 


[26] 
E 。 
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其 他 行业 


1) 网 络 安全 
2021 年 不 仅 是 科技 公司 被 APT 组 织 盯 上 ， 网 络 安全 行业 及 其 安全 研究 人 员 也 是 目标 。 


国外 厂商 Google TAG 安全 部 门 披露 了 一 起 利用 推 特 等 社交 媒体 针对 不 同 公司 和 组 织 从 事 漏 洞 研究 和 开 
发 的 安全 研究 人 员 开 社 会 工程 学 攻击 。TAG 团队 此 次 攻击 归属 到 位 于 东亚 地 区 的 政府 支持 的 攻击 组 织 。 
通过 上 传 伪造 漏洞 成 功利 用 视频 并 伪造 评论 ， 通 过 推 特 账户 进行 推广 ， 攻 击 者 与 研究 人 员 建 立 初步 的 联 
系 后 ， 通 过 发 送 带 有 恶意 代码 的 Visual Studio WE, MATA DLL 实施 攻击 。 此 次 攻击 人 员 使 用 多 个 
平台 包括 Twitter. LinkedIn. Telegram F6”. 


在 之 后 的 事件 中 ， 该 组 织 通过 对 泄露 的 IDAPRO 附加 恶意 后 门 ， 和 冒充 三 星 招聘 人 员 向 韩国 安全 公司 人 
员 投递 钓鱼 邮件 等 。 对 网 络 安全 公司 及 其 安全 研究 人 员 具 有 强 针 对 性 1 。 


2) 能 源 行业 

能 源 乃 国家 之 命脉 ， 世 界 经 济 的 飞速 发 展 都 是 建立 在 大 量 消耗 能 源 的 基础 之 上 。 

承接 美国 石油 管道 运输 大 头 的 Colonial Pipeline 公司 的 基础 设施 遭受 了 DarkSide 的 勒索 软件 攻击 ， 被 
人 迫 关闭 了 美国 东部 沿海 各 州 供 油 的 关键 燃油 网 络 ， 致 使 美国 三 个 区 域 受到 断 油 的 影响 ， 导 致 了 石油 供应 
链 停滞 和 美国 油价 大 涨 。DarkSide 昌 后 续 放出 解密 器 ， 但 这 一 事件 表明 安全 问题 不 容 小 靓 阅 。 


从 上 述 事件 可 以 看 出 ，2021 年 针对 不 同行 业 的 APT 攻击 均 有 出 现 ， 不 仅仅 局 限于 单一 行业 ， 而 是 遍布 
着 对 经 济 发 展 有 利 的 各 行 各 业 ， 黑 客 组 织 不 仅 获取 机 密 信 息 ， 敛 财 更 是 其 重要 目的 。 
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三 章 地 缘 下 的 APT 组 织 、 活 动 和 趋势 


地 域 分 析 是 APT 研究 的 重要 方面 。 一 方面 ， 同 一 地 域 范 围 的 APT 组 织 和 APT 活动 常常 出 现 一 些 重 登 ， 
其 可 能 针对 相似 的 攻击 目标 或 者 使 用 类 似 的 TTP; 另 一 方面 ， 同 一 地 区 发 生 的 很 多 APT 活动 ， 都 与 地 缘 
政治 因素 密切 相关 ， 这 对 分 析 APT 活动 的 意图 和 动机 很 有 帮助 。 


3.1 列举 了 2021 年 全 球 各 地 区 主要 活跃 的 APT 组 织 ， 全 球 主要 APT 组 织 列表 也 可 以 参见 附录 1, 


@ 


东欧 APT 组 织 


APT28 

Turla 
Gamaredon 
Energetic Bear 


攻击 能 力 


Lazarus Group 
Group 123/ APT37 


Kimsuky 
Darkhotel 
SnÉE 
BE 
北美 APT 组 织 
Longhorn 
Equation Group 
东南 亚 APT 组 织 — 攻击 能 
MuddyWater =. 
APT34/ OilRig 海 莲 花 / APT32 FE 
APT33 
Stealth Falcon/ 
—FruityArmor 
SandCat 南亚 APT 组 织 攻击 能 力 
[3E ++ 
naa SRt/ BITTER £ ni 
us 肚 脑 虫 /Donot Team + 
NES Regin 
响尾蛇 / SideWinder ++ 
EFW + 
备注 : 
攻击 能 力 级 别 圆圈 大 小 
H+ 具备 相当 复 定义 攻击 框架 和 丰富 0day 漏 洞 攻击 资源 。 代表 地 缘 性 APT 组 织 近 年 来 活跃 频 度 ， 主 要 根据 公 
+ R 位， 漏洞 利用 和 攻击 技术 ， 攻 击 活跃 。 图 例 
+ ”具备 攻击 9 组 合 使 用 和 定制 能 力 ， 缺 乏 完 备 的 自制 攻击 工具 或 攻击 不 活跃 。 疑似 地 域 归属 e) 未 知 地 域 归 属 


3.1 全 球 APT 组 织 分 布 情 ， 


页 
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东亚 地 区 的 组 织 与 行动 
East Asia 


在 2021 年 的 全 年 公开 披露 的 三 个 东亚 地 区 最 活跃 发 APT £828 73 Lazarus, Kimsuky 和 APT37。 其 中 
Lazarus (CrowdStrike 将 其 命名 为 STARDUST CHOLLIMA) 一 直 作 为 东亚 地 区 最 活跃 的 APT 组 织 ， 受 
到 某 东亚 国家 背后 支持 ， 其 目标 是 全 球 性 的 ， 攻 击 行业 涉及 影视 ， 经 济 ， 政 府 等 。Kimsuky 则 专注 于 国 
防 军工 行业 , 多 次 攻击 针对 他 国 智库 、 工业 等 行业 , 多 次 针对 东亚 某国 的 政府 国防 相关 作为 诱饵 进行 攻击 ， 
并 且 受 害 国家 已 经 扩展 到 俄罗斯 、 美 国 等 国家 。APT37 (Group123, 也 称 ScarCruft) , 早期 主要 针对 韩国 ， 
2017 年 后 延伸 攻击 目标 至 半岛 范围 ,包括 日 本 、 越 南 和 中 东 ， 擅 长 制作 高 度 定制 化 的 钓鱼 攻击 拥有 多 
平台 攻击 能 力 。DarkHotel 擅长 使 用 0day 攻击 上 游 供应 商 ， 进 行 供应 链 攻击 。 


东亚 APT 组 织 攻击 能 力 
Lazarus Group Tt 
Group 123/ APT37 amr 
Kimsuky + 
Darkhotel +++ 
Saik + 
HEM + 


= 
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DarkHotel 

最 早 活动 时 间 : 2004 

公开 披露 时 间 : 2014 

Darkhotel 组 织 由 卡巴 斯 基 最 早 在 
2014 年 披露 。 根 据 最 新 的 开源 报告 ， 
该 组 织 的 第 一 次 攻击 记录 在 2007 F, 
并 在 2010 年 激增 。 其 攻击 主要 针对 


Lazarus 

最 早 活 动 时 间 : 2009 

公开 披露 时 间 : 2009 

Lazarus 组 织 被 认为 是 地 属 东 亚 的 
APT 组织 (Bureau 121) ， 其 主要 
动机 是 经 济 利益 。CrowdStrike 将 
其 命名 为 STARDUST CHOLLIMA, 


Kimsuky 

最 早 活动 时 间 : 2013 

公开 披露 时 间 : 2013 

Kimsuky 最 早 由 卡巴 斯 基于 2013 年 
公开 披露 并 命名 ， 攻 击 活动 最 早 可 追 
3825 2012 年 。 其 被 认为 具有 东亚 地 
区 背景 ， 与 Group123 APT 组 织 存在 


WE Ry ce ue EcL 


d oec a PpEGBPqebSe ace imeem 


l 
I 
l 
] 
| 
| 
l 
| 
|. 29 * CHOLLIMA 
i 
y 


CrowdStrike 将 与 朝鲜 相关 组 织 命名 基础 设施 重 倒 等 关联 性 国防 工业 基地 、 军 事 、 能 源 、 政 府 、 
非 政府 组 织 、 电 子 制造 、 制 药 和 医疗 
等 部 门 的 公司 高 管 、 研 究 人 员 和 开发 
人 员 


APT37 

， 最 早 活动 时 间 : 2012 

! 公开 披露 时 间 : 2016 

1 Groupl23, 也 称 ScarCruft， 在 
| 2016 年 6 月 由 卡巴 斯 基 最 先进 行 披 
' 露 ， 被 认为 是 来 自 朝 鲜 的 攻击 组 织 ， 
! 最 早 活跃 于 2012 年 ， 该 组 织 被 认为 
| 与 2016 年 的 Operation Daybreak 和 
' Operation Erebus 有 关 。Group123 
Y 和 APT 组 织 Kimsuky TzTE'RHIES & 


A. 表 3.2 2021 年 东亚 地 区 活跃 APT 组 织 


Lazarus f£ 2021 年 东亚 范围 中 拥有 着 最 多 的 对 外 公开 报告 ， 攻 击 行业 包括 但 不 限于 国防 、 医 疗 、 经 济 
等 行业 ， 同 时 也 进行 以 获取 经 济 利益 为 目的 的 网 络 攻 击 活动 ， 如 勒索 、 虚 拟 货币 穷 取 等 。 攻 击 目标 不 局 
限于 单一 国家 组 织 ， 有 着 广泛 的 目标 ， 灵 活 入 侵 。 攻 击 手段 不 胜 枚 举 ， 包 括 网 络 钓 鱼 、Web 端口 入 侵 、 
供应 链 攻 击 等 。 


其 中 Lazarus 组 织 较 其 他 组 织 所 不 同 的 是 ， 擅 长 针对 网 络 安全 研究 人 员 进 行 攻击 ， 不 断 有 该 组 织 的 新 攻 
击 手段 被 发 现 。 由 此 可 见 ，Lazarus 攻击 技巧 不 局 限 ， 洞 察 人 心 ， 攻 击 方式 灵活 ， 是 需要 我 们 积极 应 对 
了 解 的 攻击 组 织 。Lazarus 针对 安全 研究 人 员 的 攻击 较 多 ， 包 括 通过 SNS 软件 和 安全 研究 人 员 进 行 沟通 
交流 后 VS 工程 植 入 恶意 命令 ” ，IDA Pro 种 植 后 门 (UFA) ， 对 多 家 反 病 毒 公司 员工 进行 钓鱼 种 
植 后 门 。 
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ESET research 
@ESETresearch 


#ESETresearch discovered a trojanized IDA Pro 
installer, distributed by the #Lazarus APT group. 
Attackers bundled the original IDA Pro 7.5 software 
developed by @HexRaysSA with two malicious 
components. @cherepanov74 1/5 

翻译 推广 


A Pro and Hex-Rays Decompiler (x86, x64, ARM, A. = Ml CAWwindows\System32\cmd.ese 


Pro Welcome to the IDA Pro an 
Hex-Rays Decompiler (x86, 
ARM, ARM64) 7.5 Setup Wi 


This is wil install IDA Pro and Hex-Rays Decompilet 
ARM, ARM64) 7.5 on your computer 


It is recommanded that you dose all other applicati 
continuing. 


Click Next to continue, or Cancel to exit Setup 


2020 


10:15 - 2021 年 11 月 10 日 Twitter Web App 


&| 3.3 Lazarus 组 织 利用 包含 木马 的 IDA Pro 攻击 安全 研究 人 员 


Kimsuky 网 络 攻击 组 织 具 有 明显 的 攻击 特征 , 善于 根据 时 事 热 点 作为 话题 ,利用 钓鱼 邮件 发 送 到 受害 者 ， 
配合 payload 或 者 钓鱼 网 站 获取 特定 数据 。 擅 长 使 用 社会 工程 学 手段 。 该 组 织 使 用 了 批量 发 送 钓鱼 邮件 
的 框架 ， 比 如 PHPMailer，SendGrid， 配 合 其 相关 工具 形成 自动 化 验证 凭据 钓鱼 。APT37 通过 钓鱼 邮 
件 进行 初始 载荷 攻击 ， 通 过 Web 进行 入 侵 后 ， 进 行 水 坑 攻击 。 后 续 RAT 的 加 载 具 有 较 长 且 复 杂 的 加 载 
流程 ， 使 用 多 种 语言 ， 增 加 了 分 析 者 的 分 析 难 度 。 使 用 KonniRat 变种 。 使 用 Chinotto 双 平 台 攻 击 。 能 
利用 Nday 漏洞 ， 具 有 漏洞 利用 开发 手段 。Darkhotel 攻击 擅长 使 用 供应 链 攻 击 ， 通 过 软件 平台 的 升级 
下 发 木马 后 门 。 拥 有 自 开 发 私有 框架 Ramsay，Thinmon 等 ， 在 持久 化 ， 后 门 插 件 ，C&C 沟通 上 具有 
独到 之 处 。 
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活动 描述 披露 时 间 披露 机 构 
Google 
Norfolk 
微 步 在 线 
Lazarus 针对 安全 研究 人 员 的 社会 工程 学 攻击 3 2021-01-25 
绿 盟 
深信 服 
Microsoft 
Operation Dream Job 4! 2021-01-26 JPCERT 
APT 组 织 Lazarus 近期 定向 攻击 组 件 
2021-01-29 绿 盟 
STUMBZARUS 深入 分 析 B9 
黑客 盗 取 13 亿美 元 B91 2021-02-19 MalwareBytes 
Lazarus 使 用 ThreatNeedle 攻击 国防 工业 871 2021-02-25 Kaspersky 
Lazarus 利用 MATA 框架 部 署 TFlower 勒索 软件 [B33 2021-03-04 sygnia 
Lazarus 攻击 日 本 活动 分 析 99) 2021-03-22 JPCERT 
Lazarus 后 门 Vyveva 分 析 (40 2021-04-08 ESET 
Lazarus 
Lazarus 比特 币 窃取 活动 分 析 中] 2021-04-14 Group-IB 
Lazarus 使 用 恶意 代码 配合 bmp 释放 木马 21 2021-04-19 MalwareBytes 
针对 国防 ， 外 交 和 领域 的 诱饵 分 析 131 2021-04-20 ESTsecurity 
Lazarus 攻击 制药 公司 活动 分 析 [44| 2021-04-27 ptsecurity. 
疑似 Lazarus 组 织 利 用 大 宇 造 船厂 为 相关 诱饵 的 系列 攻 " 
2021-05-11 [Ed 
击 活动 分 析 A 
近期 针对 军工 等 行业 的 定向 攻击 活动 分 析 [6 2021-06-02 微 步 在 线 
组 织 售 息 针 对 欧美 £ 3ER 
Lazarus 组 织 利用 招聘 信息 针对 欧美 地 区 的 攻击 活动 分 Cr 06 a 
析 m 
Lazarus APT 组 织 近期 针对 区 块 链 金融 、 能 源 行业 的 攻 M 
2021-09-02 奇 安信 
击 活动 分 析 S 
Lazarus 社会 工程 学 攻击 和 漏洞 利用 仍然 是 主要 攻击 方 
2021-10-26 Kaspersky 


za K 
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活动 描述 披露 时 间 披露 机 构 
= z ZZ e Bt 5 g 

` APT 组 织 Lazarus 发 起 的 供应 链 攻击 的 细 2001-1023 Kaspersky 
Hp] 
Lazarus Group 的 NukeSped 恶意 软件 分 析 5 2021-11-10 AhnLab 

Z q H. = q r3: im] 

Lazarus uh 2021-11-11 ESET 

m 5 

， 近 期 疑似 利用 漏洞 文档 针对 韩国 航空 
Lazarus 又 作 妖 ， 近 期 疑似 利用 油 洞 文档 针对 韩国 航空 0 1 14 
业 展开 定向 攻 (531 
Lazarus 通过 招聘 定位 人 员 P 2021-11-29 Google 
Kimsuky 组 织 利 用 私募 股权 投资 使 者 进行 软件 供应 链 攻 

2021-01-03 ESTsecurity 
击 559 
Kimsuky 拜 登 政府 就 职 典礼 样本 诱 乌 分 析 P 2021-01-18 ESTsecurity 
Kimsuky- 伪装 捐赠 证 书 针对 韩国 得 攻击 活动 诱饵 分 "— Bises) 
析 n 
针对 研究 朝鲜 经 济 的 俄罗斯 研究 人 员 攻 击 活动 分 析 098] 2021-02-01 ESTsecurity 
利用 疫情 信息 针对 韩国 小 型 企业 的 攻击 活动 分 析 [59] 2021-02-17 ESTsecurity 
针对 韩国 安全 专家 的 攻击 活动 分 析 [60 2021-03-10 ESTsecurity 
Kimsuky 组 织 网 络 攻击 活动 追溯 分 析 报告 60 2021-03-26 360 
Kimsuky 
以 Ki APT 组 织 和 交 部 为 诱饵 的 了 
疑似 Kimsuky APT 组 织 利用 韩国 外 交 部 为 诱饵 的 攻击 TR E 
活动 分 析 [69] 
KimsukyAPT 组 织 使 用 AppleSeed 攻击 韩国 政府 [63] 2021-05-31 Malwarebytes 
Kimsuky APT 组 织 双 安全 相关 部 门 的 定向 攻击 
dion bisou bx 2021-06 微 步 在 线 
活动 分 析 [64] 
疑似 Kimsuky 针对 韩国 军工 行业 的 攻击 [65] 2021-07-08 360 
Kimsuky 组 织 对 生物 行业 相关 人 员 进 行 钓鱼 攻击 [69 2021-07-15 Ahnlab 
老 树 新 花 Kimsuky 使 用 的 新 版 KGH 间谍 组 件 分 析 57) 2021-07 微 步 在 线 
Kimsuky APT 组 织 利 用 blogspot 分 发 恶意 载荷 的 攻击 
2021-07-26 奇 安信 


活动 分 析 [63 


o 
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活动 描述 披露 时 间 披露 机 构 

Kimsuky 利用 PDF 漏洞 ， 目 标 为 外 交 官 和 安全 专家 [69] 2021-08-03 EastSecurity 

Kimsuky 利用 PDF 文件 进行 APT 攻击 MO 2021-08-06 Ahnlab 

Kimsuky 间谍 活动 [7 2021-08-23 InQuest 

Kimsuky 使 用 Excel 宏 进行 网 络 攻击 [7 2021-09-23 ESTsecurity 
Kimsuky 

Kimsuky 在 攻击 活动 中 的 VNC 恶意 软件 分 析 [73] 2021-09-27 ESTsecruity 

Kimsuky 武器 库 更 新 : 利用 新 冠 疫情 为 诱 外 针对 韩国 地 2021 .10 11 UN 

区 的 攻击 活动 分 析 A 

& 恶意 博 受 示 传播 恶 

朝鲜 攻击 者 使 用 恶意 博客 向 备 受 瞩目 的 韩国 目标 传播 恶 2021-11-10 ES 

意 软件 [9 

APT37 利用 宏 分 发 RokRat [76] 2021-01-06 Malwarebytes 

APT37 使 用 浏览 器 漏洞 攻击 受害 者 【11 2021-08-17 Volexity 

KonniRat 变种 攻击 俄罗斯 [8l 2021-08-24 Malwarebytes 
APT37 . 

APT37 使 用 BLUELIGHT 部 署 RokRAT [9] 2021-08-24 Volexity 

j * Š y 监视 ; 
ScarCruft 针对 “ 脱 北 者 ”和 人 权 主 义 者 开展 监视 活 — 


动 [80] 


h APT-C- 组 织 利 用 Thi 门框 架 的 
T Darkhotel (APT-C-06) 组 织 利 用 Thinmon 后 门框 架 的 ANUS Sc 


攻击 活动 揭秘 B0 


会 表 3.4 2021 年 东亚 地 区 APT 组 织 热 点 攻击 活动 
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东南 亚 地 区 的 组 织 与 行动 
Southeast Asia 


海 莲花 组 织 依然 是 在 东南 亚 地 区 最 为 活跃 的 APT 组 织 ， 其 在 2021 年 依然 保持 较 高 的 活动 频率 。 该 组 织 
的 攻击 包括 网 络 间谍 活动 和 商业 情报 窃取 ， 同 时 该 组 织 在 近年 来 还 被 观察 到 在 受害 者 主机 上 部 署 矿 机 程 
序 ， 进 行 门 罗 币 挖 矿 。 此 外 ， 海 莲花 组 织 还 具备 发 起 供应 链 攻击 的 能 力 ， 并 且 能 在 入 侵 和 横向 移动 过 程 
中 使 用 0day 或 Nday 漏洞 。 


东南 亚 APT 组 织 ”攻击 能 


海 莲 花 / APT32 ++ 


《后 > ete s Met 


组 织 名 海 莲花 

最 早 活动 时 间 2012 年 

公开 披露 时 间 2015 t£ 

组 织 简介 海 莲花 组 织 是 由 奇 安信 威胁 情报 中 心 最 早 披露 并 命名 的 一 个 APT 组 织 ， 其 自 2012 年 4 


月 起 ， 该 组 织 针对 中 国政 府 、 科 研 院 所 、 海 事 机 构 、 海 域 建 设 、 航 运 企业 等 相关 重要 领域 
展开 了 有 组 织 、 有 计划 、 有 针对 性 的 长 时 间 不 间断 攻击 . 


全 表 3.5 2021 年 东南 亚 地 区 活跃 APT 组 织 


海 莲花 组 织 在 2021 年 对 我 国 展 开 了 多 次 攻击 活动 ， 涉 及 政府 机 构 、 科 研 院 所 、 能 源 化 工 、 电 信 通 讯 、 
软件 服务 供应 商 等 多 个 领域 。 在 这 些 攻击 活动 中 ， 海 莲花 组 织 继续 频繁 采用 动态 库 侧 加 载 技术 启动 恶意 
程序 ， 并 不 断 扩 充 其 白 利用 文件 清单 ， 使 用 过 的 白 利 用 武器 包括 联想 驱动 安装 程序 相关 组 件 、WPS 相关 
组 件 、 箱 钉 相 关 组 件 ， 大 部 分 都 是 国内 用 户 常用 软件 ， 具 有 极 强 的 隐 释 性 。 


2021 上 半年 , 友 商 发 现 该 组 织 疑似 具有 Linux 平 台 武 器 , 捕获 的 Linux 恶意 样本 被 命名 为 RotaJakiro (XX 
头 龙 ) 9 ， 其 上 线 包 构 造 手法 、 关 键 函 数 特征 和 控制 指令 与 海 莲花 组 织 的 macOS 平台 样本 均 存 在 高 度 
相似 性 。 


奇 安信 威胁 情报 中 心 在 对 海 莲 花 组 织 的 长 期 关注 过 程 中 发 现 ， 自 去 年 年 中 起 ， 海 莲花 组 织 逐 渐 放 弃 了 基 
于 鱼 叉 邮 件 的 恶意 软件 投递 方式 ， 开 始 通 过 渗透 的 手段 对 高 价值 目标 进行 攻击 活动 中。 该 组 织 在 初始 攻 
击 突破 进入 目标 内 网 环境 后 ， 会 进行 大 规模 复杂 的 横向 移动 攻击 ， 下 表 列 出 了 该 组 织 使 用 频率 最 高 的 几 
类 横向 移动 脚本 。 


横向 移动 脚本 类 型 功能 

爆破 脚本 早期 在 内 网 中 使 用 的 爆破 脚本 仅 针 对 445 端口 下 的 administrator 账户 进行 爆破 。 经 过 
数 次 版 本 迭代 后 ， 增 加 了 对 MSSQL、FTP、HTTP 的 爆破 和 对 常见 端口 的 扫描 。 

NbtScan 脚本 利用 PS 脚本 将 编码 后 的 Nbtscan 注入 到 Notepad.exe 中 ， 对 内 网 进行 扫描 。 


PS 脚本 , 主要 功能 为 信息 收集 , 收集 的 信息 包括 操作 系统 相关 信息 、 域 控 信 息 、ssh 状态 、 
Getinfo 脚本 RDP 状态 、 反 病毒 产品 、 所 有 用 户 名 、 安 装 的 程序 列表 、ipconfig、 正 在 运行 的 服务 、 
网 络 连 接 状 态 、 进 程 列 表 、 磁 盘 信息 、Administrator 用 户 下 的 目录 树 、C 盘 根 目 录 树 


管道 注入 脚本 最 后 将 上 述 信息 整理 成 html 文件 保存 在 文件 系统 中 ， 然 后 加 密 打包 上 传 到 第 三 方 网 站 
从 管道 中 读 取 payload， 对 其 进行 解密 ， 随 机 启动 一 个 系统 自 带 程序 ， 将 解密 后 得 到 的 
Empire 脚本 


shellcode 注入 启动 的 进程 中 
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横向 移动 脚本 类 型 功能 


海 莲花 组 织 使 用 Empire 框架 控制 内 网 主机 ， 搜 索 目 标 。 最 终 会 在 指定 目标 上 释放 和 白 利 
用 组 件 ， 最 终 执行 Cobalt Strike 远 控 


Mimikatz 脚本 


在 受 控 主 机 上 执行 Mimikatz powershell 版 本 的 脚本 ， 在 内 存 中 加 载 dll 的 导出 函数 ， 


Cortana fii 
ortana 脚本 抓 取 受 控 主 机 上 的 密码 


全 表 3.6 2021 年 海 莲花 组 织 常用 横向 移动 脚本 


进入 内 网 后 攻击 者 收集 内 网 机 器 的 特征 信息 (比如 主机 名 、IP 地 址 段 、 网卡 MAC 地 址 等 ) 用 于 定制 化 木马 。 
海 莲花 组 织 投 放 的 定制 化 木马 将 这 些 特征 信息 的 哈 希 值 作为 解密 后 续 阶段 攻击 载荷 的 密 钥 ， 使 得 后 续 载 
荷 只 在 指定 机 器 上 运行 ， 减 少 了 攻击 代码 暴露 的 风险 。 


海 莲 花 组 织 渗 透 时 仍 会 采用 供应 链 攻 击 手段 , 向 攻击 目标 的 IT 服务 商 或 者 软件 外 包 人 员 发 起 针对 性 攻击 ， 
以 此 进入 目标 内 网 。 并 且 该 组 织 还 会 利用 攻陷 的 设备 ， 比 如 DrayTek 路 由 器 ， 作 为 网 络 通信 流量 的 中 转 
跳板 。 


2021 年 , 海 莲花 组 织 除 针 对 中 国境 内 开展 攻击 活动 以 外 , 也 被 公开 披露 了 针对 越南 人 权 组 织 的 攻击 活动 。 
奇 安 信 威 胁 情报 中 心 整理 了 2021 年 度 海 莲 人 花 组 织 部 分 热点 攻击 活动 如 下 表 所 示 。 


GE 一 一 GE 一 一 GE 


披露 机 构 : Amnesty 披露 机 构 : 深信 服 披露 机 构 : 360 披露 机 构 : 360 
International APT 组 织 : 海 莲 花 APT 组 织 : 海 莲 花 APT 组 织 : 海 莲花 
APT 组 织 : 海 莲花 海 莲花 组 织 利 用 联想 驱 Linux 平 台 武器 “ 双 头 龙 ” 海 莲花 组 织 攻 入 企业 内 
海 莲花 组 织 针对 越南 人 动 自动 安装 软件 的 针对 疑似 与 海 莲花 组 织 有 关 [82] 部 后 使 用 的 白 利用 持久 
权 组 织 的 攻击 活动 [941 性 伪装 攻击 [85] 化 新 型 组 合 攻击 方式 [86] 
Y Y Y Y 


C) 202-1213 4 


(0%) 2021-11-19 EM ^: 2021-08-30 


披露 机 构 : 知道 创 宇 披露 机 构 : 奇 安信 披露 机 构 : 奇 安信 

APT 组 织 : 海 莲花 APT 组 织 : 海 莲 花 APT 组 织 : 海 莲 花 

海 莲花 组 织 Remy 木马 攻击 活 向 终端 安全 管理 软件 植 入 恶意 海 莲花 组 织 Operation 
动 88] 代码 的 供应 链 攻击 (871 OceanStorm 攻击 行动 ， 


该 组 织 最 近 采 用 的 渗透 攻 
击 方式 总 结 [83] 


A 表 3.7 2021 年 东南 亚 地 区 APT 组 织 热点 攻击 活动 
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南亚 地 区 的 组 织 与 行动 
South Asia 


根据 2021 年 公开 报告 整理 结果 ， 墓 灵 人 花 、 肚 脑 虫 、 透 明 部 落 这 三 个 老牌 APT 组 织 依旧 保持 高 度 的 活跃 ， 
其 中 蔓 灵 花 组 织 针对 我 国 展 开 了 多 次 攻击 。 此 外 ，2019 年 披露 命名 的 SideCopy 组 织 在 2021 年 也 发 起 
了 多 次 攻击 活动 ， 其 活跃 度 可 与 三 个 南亚 老牌 APT 组 织 比肩 。 


南亚 APT 组 织 攻击 能 力 


摩 词 草 ++ 
Ext / BITTER T 
肚 脑 虫 / Donot Team + 
响尾蛇 / SideWinder ++ 
E) + 
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2013 2016 


Y 


摩 词 草 

最 早 活动 时 间 : 2009 

公开 披露 时 间 : 2013 

主要 针对 中 国 、 巴 基 斯 坦 等 亚洲 地 区 国 
家 ， 以 政府 、 军 事 、 电 力 、 工 业 、 外 交 
和 经 济 等 领域 为 主 窃取 敏感 信息 。 具 
备 Windows, Android. macOS 三 平 
台 攻 击 能 力 。 奇 安信 内 部 跟踪 编号 为 


APT-Q-36 


人 球 高 级 持续 | 


Y 


=s d 
EXx1C 


最 早 活动 时 间 : 2013 
公开 披露 时 间 : 2016 
主要 针对 巴基斯坦 、 中 国 两 国 ， 其 攻 
击 目标 为 政府 部 门 、 电 力 、 军 工业 相 
关 单 位 ， 意 图 窃取 敏感 资料 ， 并 与 摩 
iE. BET EXER. FEAR 
跟踪 编号 为 APT-Q-37 
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A 


Transparent Tribe 

最 早 活动 时 间 : 2012 

公开 披露 时 间 : 2016 
主要 针对 印度 政府 、 军 队 或 相关 组 织 ， 
以 及 巴基斯坦 的 激进 分 子 和 民间 社 
会 ， 利 用 社会 工程 学 进行 鱼 叉 攻击 ， 


同时 也 会 在 移动 端 发 起 攻击 


2016 2017 2018 


Y 


2020 


Y 


621 

最 早 活 动 时 间 : 2013 

公开 披露 时 间 : 2016 

主要 针对 南亚 各 国 的 政府 、 军 事 等 
行业 目标 进行 攻击 。 其 攻击 会 部 署 
定制 后 门 及 定制 文件 窃取 器 从 受害 者 
的 系统 中 窃取 文件 ， 并 通常 伪装 成 俄 
罗斯 的 来 源 。 奇 安信 内 部 跟踪 编号 为 


APT-Q-40 


SideCopy 

最 早 活 动 时 间 : 2019 

公开 披露 时 间 : 2020 

主要 针对 中 国 、 巴 基 斯 坦 等 亚洲 地 区 国 
家 ， 以 政府 、 军 事 、 电 力 、 工 业 、 外 交 
和 经 济 等 领域 为 主 窃取 敏感 信息 。 具 
备 Windows, Android, macOS 三 平 
台 攻 击 能 力 。 奇 安信 内 部 跟踪 编号 为 
APT-Q-36 


A. 表 3.8 2021 年 南亚 地 区 活跃 APT 组 织 


和 


肚 脑 虫 

最 早 活动 时 间 : 2016 

公开 披露 时 间 : 2017 

主要 针对 巴基斯坦 、 中 国 、 斯 里 兰 
卡 等 南亚 地 区 国家 ， 对 政府 机 构 、 
国防 军事 部 门 以 及 商务 领域 重要 人 士 
实施 网 络 间谍 活动 。 主 要 使 用 yty 和 
EHDevel 两 套 恶 意 框 架 。 奇 安信 内 部 
跟踪 编号 为 APT-Q-38 


SÉ Born EDS mda PS qe peu ES 


Sidewinder 

最 早 活动 时 间 : 2012 

公开 披露 时 间 : 2018 

主要 针对 巴基斯坦 、 中 国 、 阿 富 汗 、 
尼泊尔 、 孟 加 拉 等 国家 展开 攻击 ， 虽 
在 窍 取 政府 外 交 机 构 、 国 防 军事 部 门 、 
高 等 教育 机 构 等 领域 的 机 密 信 息 。 常 
使 用 已 知 漏洞 (CVE-2017-11882) 开 
展 攻击 活动 。 奇 安信 内 部 跟踪 编号 为 
APT-Q-39 
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南亚 地 区 各 个 APT 组 织 攻 击 目标 范围 以 南亚 为 主 ， 主 要 涉及 政府 、 国 防 、 军 事 等 领域 。 从 2021 年 公开 
披露 的 攻击 活动 来 看 ， 萝 灵 花 、 摩 订 草 主要 针对 中 国 开 展 攻 击 活动 ， 透 明 部 落 、SideCopy 主要 针对 印 
E; 响尾蛇 、 魔 罗 检 主 要 针对 巴基斯坦 ;， 肚 脑 虫 的 攻击 目标 则 较为 分 散 ， 但 都 分 布 在 南亚 地 区 。 可 见 南 
亚 APT 组 织 的 攻击 都 带 有 较 强 的 政治 色彩 。 


据 公 开 报告 披露 ，2021 年 蔓 灵 花 组 织 在 针对 我 国政 府 部 门 、 科 研 机 构 相 关 人 员 的 定向 攻击 活动 中 使 用 
Windows 内 核 提 权 Oday 漏洞 。 此 外 ， 奇 安信 威胁 情报 中 心 曝光 了 莫 灵 花 组 织 的 Operation Magichm 
活动 外 ， 该 组 织 通过 邮箱 向 国内 相关 单位 投递 包含 有 恶意 脚本 CHM 文件 的 RAR 压缩 包 ， 采 用 了 与 以 往 
截然 不 同 的 攻击 链 一 一 使 用 .net 远 控 作 为 节点 执行 命令 或 者 下 发 插件 ， 并 下 发 了 一 个 之 前 从 未 被 披露 过 
的 新 模块 。 攻 击 全 流程 如 下 : 


B c 8 


Bitter APT 组 织 恶意 Chm 文 件 bx urne C&C 


oA e 8 D- = 


ACACA 的 Msi 程 


gs 
E 


执行 tasklist、find 等 


Z| 3.9 E zx 1E4B4R Operation Magichm 攻击 流程 


2021 年 未 ， 奇 安信 威胁 情报 中 心 发 现 肚 脑 虫 组 织 将 Google 云 盘 用 于 分 发 恶意 插件 中 。 而 在 2021 年 
初 ， 自 奇 安信 威胁 情报 中 心 披露 了 该 组 织 的 利用 RTF 模板 注入 PU 的 攻击 手法 之 后 ， 不 断 有 公开 报告 披 
露 肚 脑 虫 组 织 利 用 RTF 模板 注入 针对 周边 包括 泰国 、 阿 富 汗 、 和 孟加拉 、 西 非 等 国家 和 地 区 进行 的 攻击 活 
动 。 可 见 ，2021 年 ， 肚 脑 虫 组 织 主要 攻击 方式 为 RTF 模板 注入 和 漏洞 文档 。RTF 模板 注入 的 利用 方式 
在 RTF 格式 文档 中 的 VNtemplate 目标 控制 字 加 载 远程 恶意 模板 文件 进行 攻击 ， 整 体 执行 流程 如 下 图 所 


示 : 
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shellcode 空白 doc 


CVE- UE 11882 
打开 
em. — 


do 信件 seus, Amie 


下 载 ， 修 复 dos 头 ， 加 入 任务 计划 列表 
成 功 下 载 载 荷 后 释放 区 || 
— 


BAT 
windows.bat 
下 载 ， 并 运行 
dl 文件 
会 图 3.10 肚 脑 虫 组 织 RTF 模板 注入 攻击 流程 
透明 部 落 是 南亚 地 区 最 为 活跃 的 APT 组 织 之 一 ， 该 组 织 利用 时 事 热点 问题 为 诱 乌 针对 印度 多 个 行业 领域 


展开 了 攻击 活动 ， 主 要 以 国防 军事 为 主 ， 其 他 还 涉及 宗教 、 人 权 、 医 疗 、 运 输 和 智库 等 。 在 其 针对 印度 
陆军 的 移动 端 攻 击 中 ， 使 用 了 Tahorse RAT 新 变种 -o 


从 活跃 时 间 来 看 ，SideCopy 是 南亚 地 区 APT 组 织 中 的 后 起 之 秀 ，2021 年 尤为 活跃 。 该 组 织 攻击 目标 较 
为 集中 一 一 几乎 每 次 攻击 活动 都 以 印度 军事 相关 为 目标 。 根 据 奇 安信 威胁 情报 中 心 的 披露 ，SideCopy 
组 织 在 针对 印度 的 攻击 活动 中 使 用 了 一 款 横 跨 Windows 和 Linux 双 平 台 的 远 控 工具 "3 ， 并 关联 出 其 针 
对 mac OS 平台 的 Python RAT。 


响尾蛇 、 摩 启 草 、 魔 罗 树 三 个 组 织 在 2021 年 的 攻击 活动 相 比 去 年 有 所 减少 。 其 中 ， 响 尾 蛇 和 魔 罗 权 组 
织 武器 库 有 更 新 ， 但 攻击 手法 未 发 生 较 大 变化 。 摩 启 草 则 继续 针对 我 国 发 起 攻击 ， 另 有 分 析 显 示 摩 启 草 
组 织 的 攻击 思路 有 从 企业 化 朝 着 个 人 化 的 转变 趋势 。 


下 表 总 结 了 上 述 南 亚 APT 组 织 在 2021 年 度 的 主要 攻击 活动 。 


s. 2021-01-21 a: 20210210 ow 2021-02-10 od) 2021-02-22 — — —— 


披露 机 构 : 360 披露 机 构 : 安 恒 披露 机 构 : Lookout 披露 机 构 : 安 天 
APT 组 织 : SRI APT 组 织 : Et APT 组 织 : 62 Eb APT 组织 : Sidewinder 
使 用 Warzone RAT 针对 使 用 WINDOWS 内 核 提 使 用 新 型 安 卓 间谍 软件 针对 巴基斯坦 国防 制造 
我 国 研究 南亚 关系 的 多 权 0DAY 漏洞 针对 国内 针对 巴基斯坦 [96] 商 的 攻击 活动 7 
位 社会 科学 学 者 84] 的 攻击 活动 [95] 

Y Y Y Y 
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= 2021-12-21 


披露 机 构 : 奇 安 信 
APT 组 织 : Transparent 
Tribe 


针对 印度 陆军 的 移动 端 
新 近 活 动 97] 


Y 


GE 


披露 机 构 : 奇 安 信 

APT 组 织 : Transparent 
Tribe 

利用 印度 国防 部 会 议 记 录 为 

诱饵 的 攻击 活动 1091 


2021.08-19 | 


披露 机 构 : TrendMicro 
APT 组 织 : HESS 
使 用 Pegasus 间谍 软件 
相关 信息 作为 诱饵 攻击 
巴基斯坦 [104] 


Y 


C^) 2021110 | 


披露 机 构 : 微 步 
APT 组 织 : SRE 

针对 巴基斯坦 政府 机 构 的 定 
向 攻击 0 


M 


C) 2021-1115 4 


披露 机 构 : 奇 安 信 

APT 组 织 : SideCopy 
使 用 双 平 台 武 器 针对 印 
度 的 攻击 活动 93 


Y 


披露 机 构 : 奇 安 信 

APT 组 织 : SideCopy 
利用 新 闻 热 点 针对 印度 国防 
的 攻击 1141 


C2) 2021-03-15. 
披露 机 构 : 奇 安信 
APT 组 织 : SRI 
利用 chm 文件 针对 国内 
的 攻击 [89l 


Y 


披露 机 构 : 奇 安信 
APT 组 织 : 肚 脑 虫 


利用 阿富汗 撤军 影响 为 诱 
饵 的 攻击 活动 11402] 


C2) 20210924 1 


披露 机 构 : 360 
APT 组 织 : 摩 词 草 


利用 美女 图 片 针 对 南亚 
周边 国家 Hs] 


GENE, 
披露 机 构 : 安 天 

APT 组 织 : 摩 词 草 
针对 我 国 和 南亚 次 大 陆 等 
国家 的 钓鱼 攻击 活动 1101 


Y 


披露 机 构 : 绿 盟 

APT 组 织 : SideCopy 
针对 印度 军事 训练 营 的 
鱼 叉 攻击 活动 1101 


A. 表 3.11 2021 年 南亚 地 区 APT 组 织 热 点 攻击 活动 


202111.22 SN 2021-11-23 1 


《te%》 奇 安信 威胁 情报 中 心 


披露 机 构 : 360 
APT 组 织 : Transparent 
Tribe 


利用 新 冠 疫苗 热点 对 印 
度 医疗 行业 的 定向 攻击 
活动 gl 


GEZUZU — —(SSEDETETBICCCGEBREREE 


披露 机 构 : 奇 安 信 

APT 组 织 : Sidewinder 
利用 外 交 政 策 针对 巴基斯坦 的 
攻击 活动 01] 


[25) 2021-04-20 EE (PS 


披露 机 构 : Cyble 
APT 组 织 : Rios 
针对 移动 端的 攻击 活 
ap [99] 


Y 


披露 机 构 : 思科 
APT 组 织 : Transparent 
Tribe 


利用 windows 新 武器 的 
攻击 活动 1001 


(2%) 2021-09-08 N- 2021-09-14 


披露 机 构 : 微 步 
APT 组 织 : Transparent 
Tribe 


针对 南亚 、 中 东 多 国 长 
达 数 年 的 网 络 间谍 活动 [106] 


Y 


3) 2021.10-19 


披露 机 构 : 奇 安信 
APT 组 织 : SRE 


针对 国内 军工 行业 的 新 活 
zh [109] 


Y 


披露 机 构 : 奇 安信 
APT 组 织 : AERAR 
利用 Google 云 盘 分 发 
新 款 恶 意 插件 [90] 


披露 机 构 : Cyble 

APT 组 织 : SideCopy 
持续 针对 印度 国防 官员 
的 攻击 活动 上 on 


GEDEID 


披露 机 构 : Amnesty 
APT 组 织 : 肚 脑 虫 

使 用 印度 制造 的 间谍 软件 
瞄准 多 哥 地 区 著名 活动 
家 [108] 

Y 


C2) 2021-2413 


披露 机 构 : Malwarebytes 
APT 组 织 : SideCopy 


使 用 新 型 RAT 针对 南亚 
国家 [113] 
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东欧 地 区 的 组 织 与 行动 
r Ee nnus bob. 


2021 年 ， 东 欧 地 区 老牌 APT £B£R APT28. APT29. Turla, Gamaredon 依旧 保持 着 其 高 超 的 技术 性 与 
活跃 性 ， 其 中 APT29 针对 美国 政府 或 企业 的 攻击 活动 被 多 次 披露 ，Gamaredon 依然 保持 着 对 乌克兰 及 
周边 地 区 的 高 频 攻击 。APT28、Turla 的 攻击 变 得 更 加 的 隐蔽 。 奇 安信 威胁 情报 中 心 持续 保持 着 对 该 地 
区 APT 组 织 的 跟踪 与 发 现 ， 率 先 披露 了 疑似 APT28 利用 高 砚 铬 铁 生产 商 登记 表 为 诱饵 的 攻击 活动 中 。 
下 表 所 示 为 东欧 地 区 活跃 的 组 织 简介 。 _ ` < 


T a APT 组 织 


APT28 
Turla 十 十 十 
Gamaredon 十 

Energetic Bear 


《te4> 奇 安 信 威 胁 情报 中 心 


«(€ 奇 安 信 威 胁 情报 中 心 


wa r ww 


APT29 APT28 

! 最 早 活动 时 间 : 2008 1 最 早 活动 时 间 : 2004 

! 公开 披露 时 间 : 2013 | 公开 披露 时 间 : 2014 

' APT29 组 织 的 主要 目标 为 西亚 、 中 ' APT28 组 织 历 史 活 动 非常 频繁 ， 主 
' 亚 、 东 非 和 中 东 的 政府 部 门 和 机 构 。 ' 要 针对 政府 ， 军 事 和 安全 组 织 ， 相 关 
' 其 被 认为 在 2015 年 夏季 攻击 了 美 ' 攻击 覆盖 Windows. Linux, Mac. 
! 国 DNC， 并 在 2021 年 攻击 了 美国 | Android #l iOS, # fE 2016 年 企图 
| RNC， 微 软 以 及 丹麦 中 央 银 行 等 组 织 “， 干扰 美国 大 选 ， 在 2021 年 对 哈萨克 
Y Y 


或 企业 斯 坦 地 区 发 起 了 攻击 
2015 


Turla 

最 早 活动 时 间 : 2007 

公开 披露 时 间 : 2014 

该 组 织 拥 有 非常 复杂 的 TTP， 其 受害 
者 覆盖 超过 45 个 国家 ， 常 针对 政府 、 
大 使 馆 、 军 事 、 教 育 、 研 究 和 制药 公 
司 实施 鱼 叉 和 水 坑 攻 击 


i 


Gamaredon 

最 早 活动 时 间 : 2013 

公开 披露 时 间 : 2015 

主要 针对 乌克兰 执法 部 门 、 政 府 机 构 
和 军事 力量 进行 间谍 活动 和 情报 收集 
等 攻击 。Operation Armageddon 行 
动 与 该 组 织 有 关 


Y 


A. 表 3.12 2021 年 东欧 地 区 活跃 APT 组 织 


总 览 整个 2021 年 ， 我 们 发 现 APT29 组 织 的 攻击 活动 最 为 活跃 ，APT29 又 称 Nobelium、Cozy Bear、 
Group 100 等 ， 被 认为 是 与 东欧 地 区 政府 政府 有 关 的 APT 组 织 ， 其 最 早 攻击 活动 至 少 从 2008 年 起 ， 是 
一 个 拥有 丰富 资源 ， 高 度 组 织 化 的 攻击 组 织 ， 其 主要 目的 为 情报 收集 ， 并 用 于 支持 对 外 安全 决策 ， 并 被 
认为 与 2020 年 底 震惊 全 球 的 SolarWinds 攻击 事件 有 关 。 其 在 2021 年 发 动 了 多 起 针对 美国 企业 及 组 织 
的 攻击 ， 包 括 美国 共和 党 全 国 委员 会 (RNC)、 美 国 国际 开发 署 (USAID)， 微 软 公 司 ， 还 对 丹麦 中 央 银 行 
以 及 立陶宛 政府 官员 发 起 攻击 。 其 攻击 手法 多 样 ， 包 括 钓 鱼 邮 件 、 密 码 喷 酒 攻击 和 暴力 攻击 、 供 应 链 攻 
击 等 。 图 4.1 为 针对 USAID 的 钓鱼 邮件 。 


APT28，Turla，Gamaredon 等 组 织 也 在 不 断 使 用 新 的 攻击 方式 和 武器 库 进 行 攻击 ， 如 使 用 新 的 远程 控 
制 木 马 , 利用 供应 链 进行 恶意 程序 下 发 等 , 同时 鱼 叉 式 钓鱼 邮件 , 水 坑 攻 击 等 传统 攻击 方式 也 在 持续 使 用 。 
值得 一 提 的 是 Google 曾 披露 APT28 对 大 约 14000 名 Gmail 用 户 进 行 了 网 络 钓鱼 活动 ， 可 见 其 攻击 范 
围 之 广 。 
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U.S. Agency for International Development - Special Alert! 


€ USAID cas uníollusaxi gov» 


u 


USAID 


s 
. E 
N) orna wawan rcr 


U.S. Agency for International 
Development 
May 25, 2021 


Donald Trump has published new documents on 


election fraud 


Z| 3.13 针对 USAID 的 钓鱼 邮件 


奇 安 信 威 胁 情报 中 心 整理 了 2021 年 度 东 欧 APT 组 织 热 点 攻击 活动 ， 如 表 所 示 。 


GE 一 一 GE 一 一 


GE 一 


披露 机 构 : CERT-FR 
APT 组 织 : Sandworm 
针对 法 国 一 家 IT 公司 的 
攻击 活动 115] 
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披露 机 构 : Paloalto 
Networks 
APT 组 织 : Turla 


Turla 组 织 新 的 
Ironpython 加 载 器 分 析 (119 


披露 机 构 : 奇 安信 

APT 组 织 : APT28 
疑似 APT28 利用 高 碳 铬 
铁 生 产 商 登记 表 为 诱饵 
的 攻击 活动 分 析 [117] 


披露 机 构 : Cisco 
APT 组 织 : Gamaredon 
Gamaredon 黑客 组 织 


向 其 他 APT 组 织 提 供 服 
务 [118] 


2021 年 度 报 告 


披露 机 构 : FireEye 
APT 组 织 : APT29 
Mimecast 称 
SolarWinds 黑客 已 窍 取 
其 部 分 源 代码 [119] 


GE 一 一 


披露 机 构 : Bloomberg 
APT 组 织 : APT29 

俄罗斯 黑客 组 织 利 用 
Synnex 攻击 美国 共和 党 [126] 


GE 一 一 


披露 机 构 : Zscaler 
APT 组 织 : CloudFall 
近期 活动 针对 国际 军事 
会 议 邀 请 的 中 亚 东欧 研 


究 人 员 [127] 


披露 机 构 : DER SPIEGEL 
APT 组 织 : Ghostwriter 
针对 议会 议员 的 攻击 活 
zh 120] 


《te%》 奇 安信 威胁 情报 中 心 


披露 机 构 : Anomali 
APT 组 织 : Gamaredon 


针对 乌克兰 的 攻击 活动 [121] 


一 GE 一 一 GE 一 一 GE 一 一 人 ED 


披露 机 构 : Microsoft 

APT 组 织 : APT29 

来 自 于 Nobelium 的 电 
子 邮件 攻击 [124 


GE 一 GE 一 一 GE 


披露 机 构 : 360 

APT 组 织 : Gamaredon 
Gamaredon 向 带 有 有 效 签名 
的 PE 中 嵌入 脚本 1251 


披露 机 构 : CrowdStrike 
APT 组 织 : Turla 


Turla 部 署 新 的 恶意 软件 [128] 


披露 机 构 : Bleeping 
Computer 
APT 组 织 : APT29 


俄罗斯 黑客 已 在 丹麦 中 央 银行 
的 网 络 潜伏 超过 半年 124 


GE 一 一 GE 一 一 


披露 机 构 : Google 
APT 组织: APT28 

针对 Gmail 用 户 的 钓鱼 
活动 [29] 


披露 机 构 : Microsoft 
APT 组 织 : APT29 
Nobelium 2B£8 A (&3f £3 
取 微软 客户 支持 工具 023] 


C2) 202-118 


披露 机 构 : 绿 盟 

APT 组 织 : APT29 
攻击 技术 研判 | 
SOLARWINDS 事 件 
幕后 黑手 新 型 后 门 
FOGGYWEB 技术 研判 [39 


会 表 3.14 2021 年 东欧 地 区 APT 


组 织 热点 攻击 活动 
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中 东 地 区 的 组 织 与 行动 
Middle East 


长 期 以 来 ， 中 东 地 区 存在 着 极为 复杂 的 政治 外 交 局 势 和 宗教 文化 差异 ， 其 地 区 主要 强国 激烈 地 争夺 地 缘 
资本 、 经 济 利益 和 权力 地 位 ， 使 该 地 区 充满 了 各 种 疑似 政府 背景 的 情报 监控 和 网 络 间谍 活动 。2021 年 ， 
奇 安信 威胁 情报 中 心 通过 对 活跃 在 中 东 地 区 的 APT 组 织 不 断 追 踪 与 发 现 ， 率 先 披露 了 在 中 东 地 区 隐藏 6 
年 之 久 的 APT 组 织 一 一 MKLG 8 ， 以 及 使 用 Android 样本 持续 针对 巴基斯坦 用 户 及 巴基斯坦 TLP 政党 
的 APT 组 织 一 一 艾叶 能 34。 


m APT 组 织 


攻击 能 

MuddyWater 十 
APT34/ OilRig 十 十 
APT33 十 十 
FruityArmor 十 十 
SandCat 十 十 
AER aP 

< 利刃 座 + 
ERI + 
双 尾 蝎 十 


[E u 


«(€ 奇 安 信 威 胁 情报 中 心 


warm. wawara, wa; 


AXA | 双 尾 蝎 PROMETHIUM 

最 早 活动 时 间 : 2012 | 最 早 活动 时 间 : 2011 最 早 活动 时 间 : 2012 

公开 披露 时 间 : 2013 ， 公开 披露 时 间 : 2015 公开 披露 时 间 : 2016 

月 光 刀 组织 经 常 以 时 事 热 点 制作 鱼 又 ， 双 尾 蝎 组织 攻 击 范围 主要 为 中 东 地 PROMETHIUM 组 织 拥有 复杂 的 模 

邮件 ， 通 过 携带 的 恶意 文档 传播 恶意 | 区 ， 其 针对 Windows 和 Android 3X | 块 化 攻击 武器 库 与 丰富 的 网 络 次 

软件 ， 此 外 该 组 织 还 会 将 恶意 软件 包 ”， 平台 采取 鱼 又 或 水 坑 等 攻击 方式 配合 | 源 ， 具 备 0day 漏洞 作战 能 力 ， 拥 有 

装 在 安 卓 应 用 中 进行 传播 ， 社会 工程 学 手段 进行 渗透 ， 向 政府 、 ' Windows, Android 双 平 台 攻 击 武器 

| 人 金融、 媒体、 能 源 、 军 事 等 特定 目标 
| 人 群 进行 攻击 
Y 


wr w YI 


ARE APT34 APT33 

最 早 活动 时 间 : 2014 最 早 活动 时 间 : 2014 最 早 活动 时 间 : 2013 

公开 披露 时 间 : 2016 公开 披露 时 间 : 2016 公开 披露 时 间 : 2017 

黄金 鼠 是 一 个 最 早 由 奇 安信 披露 的 其 针对 中 东 地 区 实施 攻击 ， 攻 击 目 APT33 是 FireEye 披露 的 APT 组 织 ， 
APT 组 织 。 该 组 织 在 叙利亚 地 区 活跃 ， 标 包 括 金融 、 政 府 、 能 源 、 化 工 和 攻击 目标 包括 美国 、 沙 特 阿 拉 伯 和 韩 
其 具备 Windows 和 Android 平台 的 电信 等 行业 。 该 组 织 过 去 以 APT34 国 ， 主 要 针对 航空 和 能 源 领 域 实施 攻 


RE 


Y 


恶意 攻击 能 力 和 OilRig 两 个 不 同 的 名 称 分 别 进行 击 活动 
追踪 分 析 


Y 


wa[a r wu 


MuddyWater EET HJE 

最 早 活动 时 间 : 2017 最 早 活动 时 间 : 2013 最 早 活动 时 间 : 2019 

公开 披露 时 间 : 2017 公开 披露 时 间 : 2020 公开 披露 时 间 : 2020 

主要 针对 中 东 实 施 网 络 间谍 活动 ， 也 诺 崇 狮 是 由 奇 安信 最 早 披露 并 命名 的 利刃 座 是 由 奇 安信 最早 披露 并 命名 的 
针对 欧洲 和 北美 国家 。 其 攻击 目标 包 组 织 ， 活 跃 在 中 东 地 区 ,一直 持续 针 组 织 。 其 主要 针对 伊斯兰 国 、 基 地 组 
括 电 信 、 政 府 (IT 服务 ) 和 石油 部 门 。 对 阿拉 伯 用 户 、 什 叶 派 及 评论 人 士 进 织 、 库 尔 德 族群 和 土库曼 族群 进行 持 
主要 使 用 基于 Powershell 的 初始 阶 行 攻击 ， 虽 在 让 被 攻击 者 的 社交 平台 续 攻 击 控制 的 活动 

段 后 门 ， 也 被 称 为 POWERSTATS 账号 变 成 “沉默 账号 ” 


二 


Y 


4 - -  - 


Y Y 
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MKLG 艾叶 鞠 

最 早 活动 时 间 : 2015 最 早 活动 时 间 : 2020 

公开 披露 时 间 : 2021 公开 披露 时 间 : 2021 

MKLG 为 奇 安信 披露 的 组 织 ， 该 组 | 艾叶 能 为 奇 安信 披露 的 组 织 ， 该 组 
织 至 少 从 2015 年 起 ， 就 一 直 针 对 似 | 织 自 至 少 从 2020 年 11 月 起 ， 就 对 
乎 居住 在 伊朗 讲 波斯 语 的 人 。 该 组 | 巴基斯坦 用 户 展 开 了 有 组 织 、 有 计 
织 一 直 使 用 同一 家 族 木 马 进 行 重复 | 划 、 针 对 性 的 长 期 监控 活动 。 其 攻 
开发 ， 根 据 PDB 路 径 ， 我 们 将 其 命 ， 击 平台 主要 为 Android， 攻 击 目标 
名 为 MKLG 主要 锁定 为 巴基斯坦 用 户 及 巴 基 斯 
JB TLP 政党 


Y Y 


A. 3& 3.15 2021 年 中 东 地 区 活跃 APT 组 织 


通过 对 中 东 地 区 各 APT 组 织 长 期 的 追踪 ， 我 们 发 现 双 尾 蝎 组 织 首当其冲 ， 在 整个 2021 年 度 频繁 的 进行 
攻击 , 奇 安信 威胁 情报 中 心 就 多 次 公开 披露 该 组 织 在 Windows 和 Android 双 平 台 上 新 的 攻击 样本 。 同时 ， 
红 雨 滴 团 队 2021 年 还 捕获 了 该 组 织 更 新 后 的 PyMICROPSIA JE[ J? ， 该 后 门 具有 丰富 的 信息 窃取 和 控 
制 功能 ， 以 此 可 见 该 组 织 拥有 多 平台 、 多 类 型 的 网 络 攻 击 武器 ， 试 图 以 此 将 网 络 间 谍 活 动 利益 最 大 化 。 


伴随 着 国家 对 互联 网 的 依赖 程度 日 渐 增加 ， 网 络 空 间 问题 日 益 凸 显 ， 网 络 威胁 层出不穷 ， 网 络 空间 安全 
已 上 升 到 了 国家 安全 的 高 度 。 其 中 网 络 空间 中 的 安全 威胁 也 更 加 复杂 和 多 元 化 ， 而 来 自 APT 组 织 的 威 
胁 更 是 如 此 ，APT 组 织 往往 为 达 目 的 而 不 择 手段 。 例 如 由 红 雨 滴 团 队 首 发 的 文章 《 赛 博 空间 的 魔 眼 : 
PROMETHIUM 伪造 NotePad++ 安装 包 的 攻击 活动 分 析 》54 一 文中 就 详细 介绍 了 PROMETHIUM 组 织 
如 何 通过 捆绑 常用 软件 Notepad++ 进行 攻击 的 案例 。 


其 他 APT 组 织 如 MuddyWater、 月 光 鼠 、APT34、APT35 等 依旧 是 中 东 地 区 比较 活跃 的 组 织 ， 其 攻击 


社工 等 方式 建立 攻击 立足 。 结 合 公开 情报 ， 我 们 整理 了 中 东 地 区 过 去 一 年 中 主要 攻击 活动 如 下 表 所 示 。 
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一 一 2021-01-04 
披露 机 构 : 奇 安信 
APT 组 织 : AXE 


月 光 鼠 组 织 新 近 移 动 端 
攻击 活动 跟踪 披露 [135] 


C) 20210721 4 


披露 机 构 : 趋势 科技 

APT 组 织 : PROMETHIUM 
PROMETHIUM 组 织 

次 使 用 Android 恶意 软 

件 [142] 


Y 


GEZUZ — —CGSETTZIETETS 


披露 机 构 : 奇 安信 
APT 组 织 : SEES 
针对 巴基斯坦 用 户 的 监 
控 活动 披露 43 


20210L08 


披露 机 构 : CERTFR 
APT 组 织 : APT35 


APT35 利用 圣诞 ， 新 年 
相关 信息 的 网 络 钓鱼 工 
具 活动 036 


5 2021-06-16 S 


披露 机 构 : 启明 星辰 
APT 组 织 : APT34 
APT34 组 织 以 军队 事务 
和 移动 运营 商业 务 为 话 
题 的 定向 攻击 活动 Dan] 


Y 


披露 机 构 : 卡巴 斯 基 
APT 组 织 : HEXANE 
Lyceum 组 织 回 归 ， 利 
用 新 恶意 软件 针对 中 东 
地 区 [144] 


A. 表 3.16 2021 年 中 东 地 区 APT 组 织 热点 攻击 活动 


C2) 2021-1126 
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C2) 2021-02-10 


披露 机 构 : Anomaly 
APT 组 织 : MuddyWater 


Muddywater 使 用 外 交 
部 相关 诱 乌 针 对 阿拉 伯 
联合 酋长 国 的 攻击 活动 
分 析 [237] 


C) 202-0421. 


披露 机 构 : Facebook 
APT 组 织 : 双 尾 蝎 


使 用 定制 iOS 监控 软件 ， 
能 够 在 不 需要 设备 越狱 
的 情况 下 从 iPhone Zi 
取 敏 感 用 户 数 据 [140] 


Y 


披露 机 构 : 奇 安 信 

APT 组 织 : 双 尾 蝎 

双 尾 蝎 APT 组 织 以 巴 勒 
斯 坦 选举 热点 信息 为 诱 
乌 的 攻击 活动 分 析 [145] 


(2) 2021.03-10 
披露 机 构 : 奇 安信 

APT 组 织 : MKLG 
MKLG 行动 : 针对 中 东 地 
区 长 达 数 年 的 攻击 活动 分 
析 [138] 


C) 20210408 


披露 机 构 : Check Point 
APT 组 织 : APT34 


针对 黎巴嫩 政府 的 攻击 


活动 ， 并 使 用 了 新 后 门 
SideTwist 139] 


Y 


C2) 2021-11-30 | 


披露 机 构 : 奇 安信 

APT 组织 : PROMETHIUM 
PROMETHIUM 伪造 
NotePad++ 安装 包 的 攻 
击 活动 分 析 [146] 


2 2021221 | 


披露 机 构 : 奇 安信 
APT 组 织 : 双 尾 蝎 

双 尾 蝎 的 新 型 信息 窃取 
木马 PyMICROPSI 再 度 
k [147] 


另外 值得 关注 的 是 有 一 家 从 事 网 络 情报 工作 的 公司 NSO Group， 该 公司 主要 以 其 专 有 的 间谍 软件 
Pegasus 而 闻名 ， 该 软件 能 够 对 智能 手机 进行 远程 零点 击 监控 。2021 年 7 H, EH 17 个 媒体 组 织 进行 的 
联合 调查 显示 ，Pegasus 间谍 软件 被 用 来 瞄准 和 监视 国家 元 首 、 活 动 家 、 记 者 和 持 不 同 政见 者 ， 从 而 “在 
世界 范围 内 大 规模 侵犯 人 权 ”。 该 软件 使 用 了 多 种 漏洞 ， 包 括 多 个 IOS 零点 击 0day 漏洞 。 通 过 对 众多 
移动 设备 的 取证 分 析 ， 国 际 特赦 组 织 的 安全 实验 室 发 现 Pegasus 间谍 软件 被 反复 滥用 ， 其 目标 人 物 名 单 
包括 14 位 各 国 领导 人 。 
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其 他 地 区 的 组 织 与 行动 
Other areas in World 


2021 年 全 球 安全 厂商 披露 出 多 个 具有 高 级 攻击 技术 、 并 在 本 年 度 持续 活路 的 APT 组 织 ， 包 括 奇 安 
信 披 露 的 APT-Q-28 组织 ， 具 有 国家 背景 组 织 的 BackdoorDiplomacy. PuzzleMaker. Agrius. 
SilverFish， 非 国家 赞助 的 反 政 府 组 织 Indra 以 及 其 他 未 知 背 景 的 APT 组 织 ， 奇 安信 威胁 情报 中 心 整 理 
上 述 组织 的 相关 简介 ， 如 下 表 所 示 。 


8 
0 A 0 


APT-Q-28 APT-Q-12 Harvester 

最 早 活动 时 间 : 2019 最 早 活动 时 间 : 2018 最 早 活动 时 间 : 2021 
公开 披露 时 间 : 2021 公开 披露 时 间 : 2021 公开 披露 时 间 : 2021 
该 组 织 主要 针对 金融 、 证 券 、 软 件 、 游 该 组 织 攻击 目标 主要 以 人 力 资源 咨询 2021 年 10 月 由 国外 安全 厂商 
戏 等 行业 ， 主 要 目的 为 敛财 和 发 起 供应 和 贸易 相关 单位 为 主 , 主要 目的 为 获 Symantec 披露 ， 其 攻击 目标 主要 为 
链 打击 取 情 报 阿富汗 地 区 ， 针 对 IT、 电 信 等 组 织 。 
最 早 攻 击发 现 于 2021 年 6 月 


DarkOxide 

最 早 活动 时 间 : 2019 

公开 披露 时 间 : 2021 

由 国外 安全 公司 CrowdStrike 在 
2021 年 9 月 15 日 披露 的 组 织 ， 该 
组 织 针对 亚太 (APAC) 地 区 的 半 导 
体 行业 ， 主 要 是 敏感 信息 的 盗窃 


一 一 一 
ERE 
ac mas... iine 


Indra 

最 早 活动 时 间 : 2019 

公开 披露 时 间 : 2021 

由 国外 安全 厂商 checkpoint 披露 ， 
是 一 个 非 国 家 赞助 的 反 政府 组 织 。 其 
目标 针对 伊朗 、 纽约、 柏林 、 叙利亚 等 。 
目标 针对 各 种 基础 设施 。 从 2019 年 
9 月 开始 攻击 ， 其 推 特 称 其 对 攻击 负 


== 
D 


ChamelGang 

最 早 活 动 时 间 : 未 知 

公开 披露 时 间 : 2021 

由 国外 安全 公司 PtSecurity 在 2021 
年 9 月 30 号 披露 , 目标 针对 能 源 公 司 、 
航空 公司 。 受 害 者 国家 包括 俄罗斯 、 
美国 、 日 本 、 土 耳 其 、 越 南 、 印 度 、 
阿富汗 、 立 陶 宛 和 尼泊尔 。 主 要 目的 
是 窃取 数据 


Y 


dao in codi da icai sss: 


Y 
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w TI wn 


PuzzleMaker 

最 早 活动 时 间 : 未 知 

公开 披露 时 间 : 2021 

PuzzleMaker 组 织 是 由 卡巴 斯 基于 
2021 年 4 月 披露 的 一 个 APT 组 织 。 
该 组 织 擅长 使 用 软件 漏洞 发 动 攻击 ， 
例如 在 Chrome 或 Windows 中 所 存 
在 的 漏洞 ， 并 利用 这 些 漏洞 实现 入 侵 
网 络 、 执 行 恶 意 代码 、 窃 取信 息 数 据 
等 攻击 行为 


BackdoorDiplomacy 
最 早 活 动 时 间 : 2017 

公开 披露 时 间 : 2021 

该 组 织 由 国外 安全 厂商 ESET 披露 ， 主 
要 针对 非洲 和 中 东 地 区 的 外 交 、 电 信 等 
相关 重要 领域 开展 了 有 组 织 、 有 计划 、 
有 针对 性 的 长 时 间 不 间断 攻击 


Agrius 

最 早 活 动 时 间 : 2020 

公开 披露 时 间 : 2021 

Agrius 组 织 由 国外 网 络 安全 公司 
SentinelOne 发 现 并 命名 的 APT 组 
织 ， 该 组 织 疑 似 具有 中 东 地 区 背景 ， 
通常 利用 已 知 的 Web 应 用 程序 漏洞 
进行 攻击 ， 攻 击 目标 包括 中 东 地 区 和 
以 色 列 国家 民众 和 公司 机 构 等 个 人 或 
组 织 ， 常 使 用 Web shell 进行 间谍 活 
动 和 窃 密 操作 


和 


Y Y 


SilverFish 

最 早 活动 时 间 : 2020 

公开 披露 时 间 : 2021 

攻击 主要 集中 美国 和 欧洲 国家 和 地 区 
的 政府 部 门 、 全 球 IT 供应 商 、 航 空 领 
域 以 及 国防 领域 ， 专 注 于 网 络 侦察 和 
数据 泄露 


Y 


A. X 3.17 2021 年 其 他 地 区 APT 组 织 热点 攻击 活动 


APT-Q-28 是 一 个 专门 针对 金融 、 证 券 、 软 件 、 游 戏 等 行业 进行 攻击 的 APT 组 织 ， 善 于 通过 使 用 Web 层 
面 的 Nday 漏洞 的 方式 对 目标 进行 渗透 ， 主 要 目的 为 敛财 和 发 起 供应 链 打 击 。 


APT-Q-12 组 织 攻 击 特点 是 通过 发 送 带 有 恶意 Ink 文件 的 钓鱼 邮件 进行 传播 ， 使 用 FileRun 框架 或 者 第 三 
方 平 台 托 管 样本 。 


Harvester 组 织 拥 有 非常 先进 的 攻击 方式 和 定制 的 工具 ， 包 括 自 定 义 的 Backdoor.Graphon 后 门 、 自 定 
义 的 下 载 器 、 屏 幕 截图 工具 ， 以 及 商业 的 Cobalt Strike Beacon、Metasploit 工具 ， 在 披露 的 活动 中 ， 
其 C2 主要 由 Azure, CloudFront 服务 管理 ， 用 来 避免 载体 被 发 现 。 


ChamelGang 组 织 目前 发 现 的 攻击 方式 是 通过 供应 链 和 漏洞 进行 攻击 ， 攻 击 特点 是 通过 Microsoft, 
TrendMicro, McAfee, IBM 和 Google 的 合法 服务 伪装 其 恶意 软件 和 网 络 通信 ， 包 括 模仿 合法 域名 、 模 
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仿 合法 SSL 证 书 ; 其 使 用 的 工具 集 包 括 FRP. Cobalt Strike Beacon, Tiny shell 等 知名 恶意 程序 ， 还 
使 用 了 以 前 未 知 的 新 恶意 软件 (例如 ，ProxyT、BeaconLoader 和 DoorMe 后 门 ) o 


DarkOxide 组 织 主 要 通过 社交 媒体 进行 网 络 钓 鱼 攻击 ， 利 用 商业 软件 对 主机 进行 控制 和 信息 窃取 ， 包 括 
Total Spy, RDP Wrapper, DWServe, 


Indra 是 一 个 非 国家 赞助 的 反 政府 组 织 ， 其 最 显著 的 攻击 是 发 生 在 2021 年 7 月 9 日， 其 攻击 了 伊朗 的 
铁路 基础 设施 网 络 ， 黑 客 在 全 国 各 地 车 站 的 信息 板 上 显示 有 关 火 车 延误 或 取消 的 信息 ， 并 敦促 乘客 拨打 
特定 电话 号 码 以 获取 更 多 信息 ， 这 个 号 码 显 然 属于 该 国 最 高 领导 人 阿 亚 图 拉 : 阿 里 . 哈 梅内 伊 的 办 公 室 热 
线 电 话 。 


— fs - `= 
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“Long delays due to cyber attacks. More information: 64411” message containing the Supreme 
Leader office number displayed on Iran's railways stations boards. Image published by the 
media. 


» 
Ñ 


到 3.18 伊朗 铁路 基础 设施 网 络 被 攻陷 (2021.7.9) 
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并 在 次 日 再 次 攻击 了 伊朗 道路 和 城市 化 部 的 网 站 ， 并 声称 为 这 2 个 攻击 活动 负责 。 
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"We attacked the computer systems of the Railway Company and the Ministry 
of Roads and Urban Development". The message left by attackers on hacked 
machines 


=] 3.19 Indra 组 织 声称 为 伊朗 铁路 网 络 攻击 事 


zh 
5l 


在 对 其 进行 关联 时 ， 在 Twitter 上 发 现 了 INDRA 组 织 的 以 往 的 部 分 攻击 活动 ， 其 在 2019 年 9 月 声称 已 
成 功 攻击 了 Alfadelex 公司 ， 挫 毁 了 他 们 的 网 络 ， 并 泄露 了 客户 和 员工 的 数据 。 
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9: Indra G DIndra17857t Feb 18, 2020 


#ARFADA laur d end transfers funds for 4 Hezbollah using affiliated 
traders ant men like 3 Tawfic nd tiada, who w 
r se tainted funds are passed in cash to e 
wist eM hamrnad Jaffer Alqasir 


ve also 


ventually reach 


€ Indra 的 Twitter 帐户 中 发 布 的 对 Alfadelex 的 


© Indra @Indra17857623 . Feb 18, 2020 ... SERE 


We, *indra God of War, have hacked the #Katerj Guy S #ARFADA 
Petroleum company's system s and computers because of their business with 
*Quds Forces and their support of evezcollahs terrors, and now all oft their 


documents and information are under our control 
Indra @Indra17857623 - Feb 18, 2020 
4/5 
We have been following them and watching for quite à while, but now is 
about time for *Katerji to understand, without a hint of doubt, that for their 


own good - it's time to put a stop to their actions or there will be dir 


consequences 


SESSEL Eel IJI ALfadelex 的 攻击 
中 发 现 的 照片 


Indra 集团 Twitter 帐户 对 Arfada 的 攻击 负责 


网 


3.20 Indra 组 织 在 Twitter 上 声称 为 Alfadelex 公司 受 攻击 事件 负责 


p 


BackdoorDiplomacy 组 织 主 要 利用 暴露 在 互联 网 中 的 目标 资产 进行 攻击 ， 包 括 利 用 未 修补 的 漏洞 或 文 
件 上 传 漏洞 ，ESET 曾 观测 到 其 利用 CVE-2020-5902 漏洞 来 投放 Linux 后 门 并 利用 公开 的 工具 进行 横向 
移动 ， 值 得 说 明 的 是 ，Windows 和 Linux 操作 系统 都 是 该 组 织 的 攻击 目标 。 


Agrius 组 织 通过 使 用 恶意 软件 对 受害 者 系统 数据 进行 恶意 抹 除 进行 攻击 ， 并 且 伪 装 为 勒索 攻击 掩盖 其 
攻击 行为 ， 该 组 织 自 2020 年 以 来 一 直 活 跃 ， 并 且 该 组 织 的 关注 目标 似乎 由 中 东 地 区 转移 到 以 色 列 国家 
民众 和 公司 机 构 等 个 人 或 组 织 。 该 组 织 的 攻击 活动 的 动机 似乎 主要 为 经 济 动机 ， 但 实际 上 该 组 织 常 使 用 
WebsShell 进行 间谍 活动 和 穷 密 操作 。 


SilverFish 组 织 疑 似 与 SolarWinds 攻击 以 及 TrickBot 活动 存在 联系 ， 并 被 指向 具有 东欧 地 区 背景 ， 
SilverFish 使 用 的 工具 集 包 括 Empire. Cobalt Strike、Mimikatz、Powershell、BAT、CSPROJ、 
JavaScript 和 用 于 枚 举 和 数据 泄露 的 HTA 文件 ， 据 调查 发 现 自 2020 年 12 月 以 来 ，SilverFish 至 少 对 
4720 次 个 人 攻击 负责 ， 主 要 集中 在 政府 实体 、 全 球 IT 提供 商 、 从 事 航空 业 的 公司 和 国防 公司 。 
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披露 机 构 : Check Point 
APT 组 织 : Indra 

伊朗 的 铁路 基础 设施 遭 
到 网 络 攻击 1511 


A. 表 3.21 2021 年 其 它 地 区 APT 组 


一 一 2021-07-09 i — 2021-07-10 — 2021-09-30 


披露 机 构 : Check Point 
APT 组 织 : Indra 


伊朗 道路 和 城市 化 部 的 
网 站 再 次 遭 到 攻击 ， 被 
攻击 计算 机 显示 器 的 照 
片 申明 攻击 者 对 连续 两 
次 攻击 负责 50 


织 热 点 攻击 活动 


«(625 奇 安 信 威 胁 情报 中 心 


披露 机 构 : PtSecurity 
APT 组 织 : ChamelGang 


2021 年 3 月 下 旬 检 测 
到 其 使 用 jboss-_CVE- 
2017-12149 入 侵 了 一 家 
能 源 公司 的 网 络 [150] 


披露 机 构 : 奇 安信 
APT 组 织 : APT-Q-12 
使 用 鱼 叉 邮件 投递 恶意 
压缩 包 49] 


C) 20210930 4 


披露 机 构 : PtSecurity 
APT 组 织 : ChamelGang 


2021 年 8 月 16 日 检测 到 
其 利用 一 系列 ProxyShell 
漏洞 渗透 了 俄罗斯 的 一 家 
航空 生产 公司 B501 


(2%) 2021-11-29 Sa 2021-10-18 


披露 机 构 : 奇 安 信 
APT 组 织 : APT-Q-28 
针对 证 券 金 融 行业 的 定 
向 猎 杀 活动 049 


邮箱 : ti_support@qianxin.com RB 


Bib: 95015 


官网 : https;//ti.qianxin.com 
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第 四 章 史诗 级 海量 0day 漏 洞 被 用 于 APT 攻 击 


2021 年 以 来 ，0day 漏洞 攻击 呈 爆 发 趋势 ， 在 野 利用 的 0day/1day 漏洞 数量 超过 70 个 ， 这 在 网 络 安全 
历史 上 是 前 所 未 见 的 。 其 不 仅 体 现在 漏洞 数量 多 ， 而 且 漏 洞 类 型 几乎 覆盖 所 有 垄断 市 场 份额 的 系统 和 
产品 ， 包 括 浏览 器 (Chrome/IE/Safari), Windows 操作 系统 、Windows Exchange Server. Microsoft 
Office. Adobe Reader, Apache HTTP Sever, iOS, Android 等 。 


在 野 0day 漏洞 利用 的 整体 趋势 以 Windows 平台 为 基础 ，Chrome/Safari 浏览 器 为 主流 向 多 平台 延伸 ， 
内 网 核心 服务 域 控 /Exchange 成 为 新 的 爆发 点 ， 同 时 随 着 iOS, Android 生态 的 不 断 完善 ， 相 关 APT 组 
织 针 对 这 些 平台 的 0day 攻击 也 逐年 以 稳定 的 趋势 增加 。 


Oday 漏洞 作为 APT 组 织 提升 攻击 能 力 的 一 大 武器 ， 不 仅 成 熟 的 APT 组 织 ， 包 括 一 些 以 往 不 具备 Oday 
漏洞 挖掘 利用 能 力 的 组 织 ， 如 Bitter， 也 在 通过 类 似 第 三 方 漏洞 卖家 的 渠道 扩充 自身 的 0day 存储 ， 追 
求 0day 资源 ， 不 断 发 展 自身 ， 不 断 更 新 其 攻击 武器 和 手段 。 这 已 经 成 为 了 APT 组 织 的 一 大 趋势 。 


CVE-2020-11261 Android x 未 知 未 知 
CVE-2021-1647 Windows Defender 是 未 知 未 知 
CVE-2021-1782 iOS E 未 知 未 知 
CVE-2021-1870 iOS E 未 知 未 知 
CVE-2021-1871 iOS 否 未 知 未 知 


Lazaurs 针对 安全 研究 人 员 


CVE-2021-21148 Chrome 否 未 知 
的 定向 攻击 
CVE-2021-21017 Adobe Reader 否 未 知 未 知 
. Bitter 通过 Windows 提 权 e 
CVE-2021-1732 Windows = 安 恒 
0day 攻击 中 国 重 点 单位 
Volexity 
Hafnium 通过 Exchage 
CVE-2021-26855 Exchange Server 是 8 DEVCORE 


0day 漏洞 进行 攻击 的 事件 


Microsoft Threat 
Intelligence Center 


o 
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漏洞 编号 


影响 目标 


利用 代码 是 否 公开 


«€» 奇 安 信 威 胁 情报 中 心 


利用 的 APT 组 织 


CVE-2021-26857 


CVE-2021-26858 


CVE-2021-27065 


CVE-2021-21166 


CVE-2021-26411 


CVE-2021-21193 


CVE-2021-1879 


CVE-2021-28310 


CVE-2021-21220 


CVE-2021-21224 


CVE-2021-22893 


CVE-2021-20021 


CVE-2021-20022 


CVE-2021-20023 


CVE-2021-27059 


CVE-2021-27085 


Exchange Server 


Exchange Server 


Exchange Server 


Chrome 


Internet Explorer 


Chrome 


iOS 


Windows 


Chrome 


Chrome 


Pulse Secure VPN 


SonicWall 

SonicWall 

SonicWall 
Office 


Internet Explorer 


I| 


I 


并 


Di 


并 


I| 


IN 


I 


并 


并 


IN 


Di 


I| 


I 


IN 


I 


Hafnium 通过 Exchage 
0day 漏洞 进行 攻击 的 事件 


Hafnium 通过 Exchage 
0day 漏洞 进行 攻击 的 事件 


Hafnium 通过 Exchage 
0day 漏洞 进行 攻击 的 事件 


未 知 ( 针对 亚美尼亚 的 定向 
攻击 事件 ) 


Lazaurs 针对 安全 研究 人 员 
的 定向 攻击 


未 知 


APT29 针对 西欧 政府 
定向 攻击 事件 


m} 
Xn 
= 


Bitter Windows 提 权 0day 
攻击 事件 


无 


ZE 


UNC2630 针对 美国 国防 工 
业 基 地 (DIB) 网 络 攻击 


UNC2682 


UNC2682 


UNC2682 


未 知 


未 知 


Volexity 
DEVCORE 


Microsoft Threat 
Intelligence Center 


Volexity 
DEVCORE 


Microsoft Threat 
Intelligence Center 


Volexity 
DEVCORE 


Microsoft Threat 
Intelligence Center 


Microsoft Browser 
Vulnerability Research 


Enki/360 


未 知 


Google’ s Threat 
Analysis Group 


Kaspersky 


自由 安全 研究 人 员 


360 


FireEye 


FireEye 
FireEye 
FireEye 
FireEye 


FireEye 


邮箱 : ti_support@qianxin.com 
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漏洞 编号 影响 目标 利用 代码 是 否 公 开 利用 的 APT 组 织 
CVE-2021-28550 Adobe Reader 否 未 知 未 知 
Google's Threat 
XJ NE 亚 的 定 
CVE-2021-30551 Chrome 否 RA (Ft AR Analysis Group 
攻击 事件 ) Google Project Zero 
CVE-2021-30661 WebKit 否 未 知 360 
CVE-2021-30663 WebKit a 未 知 未 知 
CVE-2021-30665 WebKit a 未 知 360 
CVE-2021-30666 WebKit a 未 知 360 
CVE-2021-30761 WebKit 否 未 知 未 知 
CVE-2021-30762 WebKit ES 未 知 未 知 
CVE-2021-1905 Android 否 未 知 未 知 
CVE-2021-1906 Android ES 未 知 未 知 
CVE-2021-28663 Android 否 未 知 未 知 
CVE-2021-28664 Android 否 未 知 未 知 
CVE-2021-31199 Winodws 否 未 知 未 知 
CVE-2021-31201 Winodws 否 未 知 未 知 
PuzzleMaker 通过 Ch 
CVE-2021-31955 Winodws = uzele Maken EE chrome Kaspersky 
攻击 链 完成 的 定向 攻击 事件 
. PuzzleMaker 通过 Chrome 
CVE-2021-31956 Winodws E Kaspersky 
攻击 链 完成 的 定向 攻击 事件 
CVE-2021-33739 Windows 是 未 知 安 恒 
寸 亚 亚 的 定 * sTh 
ugs 37 Intemet Exglórer = 未 知 ( 针对 亚美尼亚 的 定向 Google' s Threat 
攻击 事件 ) Analysis Group 
CVE-2021-30554 Chrome 否 未 知 未 知 
SOURGUM 通过 Windows 
CVE-2021-33771 Windows A 提 权 Oday 攻击 巴勒斯坦 权 未 知 
力 机 构 
CVE-2021-34448 Internet Explorer 未 知 未 知 360 
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漏洞 编号 


影响 目标 


利用 代码 是 否 公开 


《后 > 奇 安 信 威 胁 情报 中 心 


利用 的 APT 组 织 


CVE-2021-31979 


CVE-2021-30563 


CVE-2021-30807 


CVE-2021-36948 


CVE-2021-1675 


CVE-2021-34527 


CVE-2021-36936 


CVE-2021-36958 


CVE-2021-40444 


CVE-2021-30860 


CVE-2021-30858 


CVE-2021-30632 


CVE-2021-30633 


CVE-2021-1789 


CVE-2021-30869 


Windows 


Chrome 
iOS 


Windows 


Windows printer 


Windows printer 
Windows printer 


Windows printer 


Internet Explorer 


iOS iMessage 
WebKit 
Chrome 


Chrome 


Webkit 


macOS 


Di 


Di 


Ij 


IN 


并 


并 


并 


并 


并 


IN 


Ii 


并 


ji 


IN 


Di 


SOURGUM 通过 Windows 
提 权 Oday 攻击 巴勒斯坦 权 
力 机 构 


未 知 
未 知 


未 知 


未 知 


未 知 
未 知 


未 知 


未 知 


NSO 
未 知 
未 知 


未 知 


未 知 ( 针对 中 国 香港 民主 政 
治 团体 的 定向 攻击 ) 


未 知 ( 针对 中 国 香港 民主 政 
治 团体 的 定向 攻击 ) 


Microsoft Threat 
Intelligence Center 
(MSTIC) 


Microsoft Security 
Response Center 
(MSRC) 


未 知 
未 知 


未 知 


Tencent Security 
Xuanwu Lab 


AFINE 
NSFOCUS 


未 知 
未 知 
未 知 


Rick Cole (MSTIC) 


Dhanesh Kizhakkinan 
of Mandiant 


Genwei Jiang of 
Mandiant 


Haifei Li of EXPMON 


and Byce Abdo of 
Mandiant 


The Citizen Lab 
未 知 
未 知 
未 知 
Google TAG 


Google Project Zero 


Google TAG 
Google Project Zero 


邮箱 : ti_support@qianxin.com 
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漏洞 编号 


CVE-2021-37973 


CVE-2021-37975 


CVE-2021-37976 


CVE-2021-30883 


CVE-2021-40449 


CVE-2021-38000 


CVE-2021-38003 


CVE-2021-1048 


CVE-2021-42292 


CVE-2021-42321 


CVE-2021-40539 


CVE-2021-22005 


CVE-2021-44228 


CVE-2021-4102 


CVE-2021-42287 


影响 目标 


Chrome 


Chrome 


Chrome 


iOS 


Windows 


Chrome 


Chrome 


Android 


Office 


Exchange 


Zoho ManageEngine 
ADSelfService 


VMware vCenter 


Server 
Apache Log4j 
CHROME 


Windows Active 


Directory 


利用 代码 是 否 公开 


I 


并 


并 


IN 


并 


IN 


Di 


IN 


ji 


并 


并 


并 


并 


并 


并 


威胁 (APT) 2021 FERS 


利用 的 APT 组 织 


未 知 


未 知 


未 知 


未 知 


MysterySnail 


未 知 


未 知 


未 知 


未 知 


未 知 


APT27 


OceanLotus 


未 知 


未 知 


未 知 


Google's Threat 
Analysis Group 


Google Project Zero 
未 知 


Google's Threat 
Analysis Group 


Google Project Zero 
未 知 
Kaspersky 


Google's Threat 
Analysis Group 


Google Project Zero 


Google's Threat 
Analysis Group 


Google Project Zero 
未 知 


Microsoft Threat 
Intelligence Center 
(MSTIC) 


Microsoft Security 
Response Center 


Microsoft Threat 
Intelligence Center 
(MSTIC) 


360 


未 知 


未 知 


未 知 


未 知 


未 知 
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漏洞 编号 影响 目标 利用 代码 是 否 公开 ”利用 的 APT 组 织 


Windows Active 


并 


CVE-2021-42278 未 知 未 知 


Directory 


A. 表 4.1 2021 年 被 曝光 在 野 利用 的 高 危 漏 洞 


一 、CVE-2021-1647: Windows Defender BS B3IEXA Hj z EE 


2021 £ 1 B, Windows 操作 系统 自 带 的 反 病 毒 软 件 Windows Defender 被 爆 Oday 漏洞 (CVE-2021- 
1647) ， 该 漏洞 被 微软 内 部 命名 为 Achilles， 即 阿 喀 琉 斯 之 中 ， 意 为 Windows Defender 的 致命 弱点 。 
漏洞 为 Windows Defender 指令 模拟 执行 时 ， 在 Asprotect 解压 过 程 中 的 一 处 堆 溢出 漏洞 ， 若 成 功利 用 ， 
将 在 未 打 补丁 的 目标 机 器 上 导致 远程 代码 执行 。 


由 于 Windows Defender 会 默认 在 后 台 持 续 扫描 样 本 ， 因 此 当 未 知 APT 组 织 将 样本 投递 邮件 下 发 或 
浏览 器 利用 ) 到 默认 使 用 Windows Defender 作为 杀 软 的 用 户 时 将 触发 漏洞 ， 并 直接 执行 恶意 代码 。 


在 漏洞 修复 不 久 ， 相 关 利 用 的 攻击 样本 被 上 传 到 Virustotal 恶意 代码 共享 平台 。 


Z., Chrome 浏览 器 在 野 0day 漏洞 攻击 爆发 


CVE-2019-5786，2019 年 第 一 个 Chrome 的 在 野 攻 击 0day 漏洞 ， 随 后 的 三 年 里 Chrome 0day 漏洞 
攻击 迎 来 爆发 ， 并 于 2021 年 达到 顶峰 ， 可 以 预计 的 是 在 未 来 较 长 的 一 段 时 间 内 ，Chrome 0day 漏洞 
依旧 是 APT 组 织 攻 城 略 地 的 一 大 利器 ， 随 着 微软 Edge 加 入 Chrome AtS, Firefox 的 逐渐 衰落 ， 
Chrome 正 逐 渐 统 一 浏览 器 市 场 ， 横 跨 移动 到 PC 端的 大 部 分 市 场 ， 而 浏览 器 本 身 的 特性 也 决定 了 ， 无 
论 是 鱼 叉 邮件 还 是 水 坑 攻 击 都 天 然 地 契合 ， 如 此 巨大 的 攻击 面 也 导致 其 成 为 攻击 者 竞相 追逐 的 蛋糕 


2021 年 Chrome 相关 的 0day 漏洞 一 共 17 个 ， 这 个 数字 甚至 直接 超过 了 2020 年 所 有 APT 在 野 0day 
数量 的 一 半 ， 而 由 于 Chrome 沙 盒 的 特性 ， 每 一 个 Chrome 0day 的 背后 都 需要 一 个 权限 提升 的 漏洞 来 
进行 沙 盒 绕 过 ， 因 此 2021 年 也 是 Windows 在 野 提 权 爆发 的 一 年 。 


2021 年 1 月 ，Google 披露 的 Lazaurs 通过 Chrome Oday CVE-2021-21148 针对 安全 研究 人 员 进 行 水 坑 
攻击 的 事件 “"， 整 个 攻击 中 使 用 了 至 少 三 个 以 上 的 0day(CVE-2021-21148、CVE-2021-26411、 未 知 的 
提 权 漏洞 )， 长 达 一 年 以 上 的 精心 准备 ， 以 及 面向 全 世界 二 进 制 安全 研究 员 的 攻击 群体 ， 都 足以 让 这 次 
事件 成 为 APT 攻击 史上 浓墨重彩 的 一 笔 。 
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编译 rundll32 


恶意 vs 工程 恶意 powersehll 恶意 后 门 loader 


释放 恶意 sys 服 务 加 载 解密 后 门 


恶意 sys 服 务 加 载 模块 


Z| 4.2 Lazarus 攻击 安全 研究 人 员 事 件 流程 


2021 年 4 月， 两 个 被 安全 研究 人 员 直 接 公 开 利用 代码 的 漏洞 : CVE-2021-21220/CVE-2021-21224, tB 
在 第 一 时 间 被 攻击 者 直接 用 于 真实 攻击 。2021 年 6 月 ， 卡 巴 斯 基 披露 了 通过 Chrome 0day 漏洞 进行 攻 
击 的 事件 ， 并 将 该 行动 命名 为 PuzzleMaker 3， 攻击 中 疑似 使 用 了 公开 的 CVE-2021-21224 利用 代码 ， 
之 后 通过 Windows Oday CVE-2021-31955、CVE-2021-31956 实现 提 权 。 奇 安信 红 雨 滴 团 队 于 2021 年 
10 月 独家 捕获 到 完整 在 野 利 用 攻击 链 ， 证 实 了 当时 卡巴 斯 基 的 猜测 。 


sæ., RedDrip Team @RedDrip7 - 2021 年 10 月 27 
Mon ftPuzzleMaker 
We found a complete exploit chain which involves Chrome #RCE vuln 
&CVE-2021-21224 and Windows EoP vuln &CVE-2021-31956 in the wild. 
This exploit chain allows attackers to escape Chrome sandbox and execute 
code with Windows system privileges. 


securelist.com/puzzlemaker-ch... 


Ja m 


Q 2 u 7” Q 184 it 


到 4.3 奇 安 信 红 雨滴 团队 捕获 Chrome 完整 在 野 漏洞 利 
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《后 > acti RERE D 


此 外 ， 由 于 Chrome 浏览 器 的 流行 ， 很 多 应 用 都 尝试 会 将 其 集成 到 自身 中 以 用 于 直接 的 页 面 展示 ， 但 
是 由 于 开发 成 本 等 原因 ， 很 难 有 厂商 能 跟 上 Google 的 更 新 修改 速度 ， 这 就 导致 实际 上 很 多 这 样 的 应 用 
中 集成 的 Chrome 浏览 器 模块 版 本 都 较 低 ， 存 在 不 少 的 nday 漏洞 。2021 年 4 月 ， 奇 安信 红 雨 滴 团 队 
就 捕获 了 通过 Chrome V8 引擎 的 nday 漏洞 攻击 国内 某 知 名 PC 版 社交 应 用 的 案例 。 这 样 的 漏洞 对 于 
Chrome 而 言 是 无 伤 大 雅 的 nday 漏洞 ， 但 是 对 于 集成 了 相关 组 件 的 应 用 而 言 却 是 一 击 致命 的 0day 漏 
洞 。 在 可 预见 的 未 来 ， 随 着 Chrome 市 场 范围 的 逐渐 统一 ， 越 来 越 多 应 用 的 集成 ， 这 种 应 用 厂商 无 法 跟 
上 Google 更 新 脚步 将 成 为 一 个 新 的 攻击 面 。 


值得 注意 的 是 17 个 在 野 0day 漏洞 攻击 中 近乎 7 成 以 上 的 漏洞 发 现 来 自 于 Google 的 威胁 情报 及 
Project zero 研究 团队 ， 此 外 除了 年 初 Lazarus 针对 安全 研究 人 员 及 CVE-2021-21166 、CVE-2021- 
30551 这 两 个 针对 亚美尼亚 的 攻击 外 由 5” ， 似 乎 所 有 的 攻击 都 没有 明确 的 背景 研判 ， 整 个 Chrome 0day 
攻击 的 趋势 似乎 正 朝 着 发 现 垄 断 化 、 攻 击 背景 模糊 化 、 攻 击 频率 爆发 化 发 展 ， 而 值得 庆幸 的 是 Google 
在 Oday 攻击 事件 的 处 理 上 足够 的 积极 快速 。 


三 、Exchange、 域 控 等 内 网 核心 资产 0day 漏洞 成 为 焦点 


2021 年 同样 也 是 Exchange、 域 控 漏 洞 爆发 的 一 年 ， 作 为 内 网 中 重要 的 核心 资产 ， 一 旦 被 攻破 就 意味 这 
整个 内 网 的 沦陷 。 因 此 二 者 成 为 了 近年 来 攻击 者 竟 相 追逐 的 香 馆 馆 。 


Exchange 漏洞 在 2021 年 达到 顶峰 ， 整 个 2021 年 Exchange 相关 攻击 有 着 三 个 明显 的 时 间 点 。 


2021 £2 B, EH Hafnium 攻击 组 织 首次 使 用 ProxyLogon (CVE-2021-26855、CVE-2021-27065) 
Oday 进行 攻击 055 ， 之 后 相关 代码 泄露 ，2021 年 2 月 底 到 2021 ££ 3 月 2 日 期 间 ， 漏 洞 被 部 分 APT 组 
织 大 规模 使 用 ， 涉 及 的 组 织 包 括 LuckyMouse、 Tick、 Winnti Group 及 Calypso. 


2021 年 8 月 ， 安 全 研究 员 Orange 在 Blackhat 上 公开 了 其 用 于 Pwn20wn 针对 Exchange 的 
ProxyShell 细节 ， 整 个 利用 包含 三 个 相关 0day 漏洞 CVE-2021-34473. CVE-2021-34523. CVE-2021- 
31207， 随 后 ProxyShell 便 被 APT 组 织 ChamelGang 用 于 针对 俄罗斯 相关 燃料 及 航空 行业 的 攻击 中 ， 
此 外 如 BlackByte 的 勒索 家 族 也 将 该 利用 加 入 了 自身 的 入 侵 工具 包 中 。 


2021 年 11 月 ，CVE-2021-42321 相关 细节 被 安全 研究 人 员 以 研究 报告 的 形式 公开 ， 该 漏洞 最 早 于 2021 
年 天 府 杯 被 参赛 者 用 于 Exchange 项 目的 破解 挑战 。 


同样 域 控 相关 的 漏洞 也 赶 上 2021 的 末班车 ，CVE-2021-42287、CVE-2021-42278 这 两 个 11 月 域 控 相关 
的 漏洞 于 2021 年 12 月 10 日 被 安全 研究 人 员 武 器 化 ， 通 过 域内 一 个 普通 权限 的 用 户 即 可 直接 接管 域 控 
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服务 器 ， 由 于 该 漏洞 出 现时 间 和 本 报告 时 间 过 于 接近 ， 目 前 为 止 还 未 发 现 有 相关 APT 组 织 将 其 用 于 实际 
的 攻击 活动 中 。 


四 、 久 违 的 Adobe Reader 在 野 0day 漏洞 利用 攻击 链 


2021 年 03 月 26 日 及 2021 年 05 月 11 日 Adobe 的 每 月 例 行 补丁 中 分 别 修复 了 两 个 在 野 0day CVE- 
2021-21017、CVE-2021-28550， 该 两 个 漏洞 都 由 匿名 研究 人 员 提 交 给 Adobe 公司 ， 之 后 便 无 攻击 相关 
的 报告 披露 ， 由 于 Adobe Reader 本 身 自 带 沙 盒 ， 这 也 意味 着 一 次 成 功 的 在 野 利 用 需要 配合 上 用 于 沙 盒 
逃逸 的 提 权 漏洞 。 
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e Anonymously reported (CVE-2021-28550) 


A. 图 4.4 CVE-2021-28550 官方 说 明 


而 直到 2021 年 6 月 8 日 ， 微 软 6 月 补丁 日 中 修复 了 两 个 在 野 提 权 漏 洞 CVE-2021-31201、CVE-2021- 
31199， 而 通过 漏洞 的 通告 可 知 856 ，CVE-2021-31201、CVE-2021-31199 Eft CVE-2021-28550 的 攻击 
中 扮演 了 后 续 提 权 的 角色 ， 自 此 两 次 攻击 中 一 共 确 认 使 用 了 四 个 0day 漏洞 。 


FAQ 


Is this CVE related to Adobe CVE-2021-28550? 


Yes, Microsoft CVE-2021-31201 and CVE-2021-31199 address vulnerabilities that are related to Adobe's CVE-2021-28550, released in 
Adobe Security Bulletin ID APSB21-29. Customers running affected versions of Microsoft Windows should install the June security updates 
to be fully protected from these three vulnerabilities. 


到 4.5 微软 官方 说 明 


» 
Ñ 


五 、 网 络 武器 军火 商 推波助澜 


2021 年 是 在 野 0day 爆发 的 一 年 ， 越 来 越 多 的 APT 组 织 开 始 将 0day 漏洞 加 入 到 自身 的 武器 库 中 ， 但 是 
并 不 是 所 有 的 APT 组 织 都 具备 着 Oday 漏洞 挖掘 和 利用 武器 化 的 能 力 ， 因 此 武器 军火 商 的 影子 也 更 加 频 
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《如 奇 安信 威胁 情报 中 心 
繁 地 出 现在 2021 年 的 攻击 事件 中 。 


2021 年 上 半年 ， 安 全 厂商 相继 披露 了 APT 组 织 Bitter 的 在 野 0day 攻击 ， 两 次 攻击 中 分 别 涉及 
Windows 提 权 Oday 漏洞 CVE-2021-1732/CVE-2021-28310 ”1 ， 基 于 对 Bitter 组 织 之 前 的 跟踪 研究 ， 
该 组 织 本 身 并 不 具备 漏洞 挖掘 及 利用 相关 的 能 力 ， 这 两 次 攻击 中 使 用 的 0day 漏洞 我 们 更 倾向 于 是 地 下 
0day 漏洞 市 场 的 产物 。 


此 外 另 一 个 值得 一 提 的 是 NSO , 该 公司 总 部 位 于 以 色 列 , 出 售 网 络 武器 及 0day 利用 是 该 公司 的 一 大 业务 ， 
最 为 出 名 的 iPhone 三 叉 戟 0day 就 来 自 于 NSO”, 2021 年 年 初 针 对 沙特 政治 家 的 攻击 活动 中 使 用 的 
武器 就 同样 来 自 于 NSO， 攻 击 中 使 用 了 一 枚 Imessage 相关 的 0day 漏洞 CVE-2021-30860 以 用 于 第 一 
阶段 获取 用 户 的 手机 权限 ， 这 也 是 继 2019. 2020 年 连续 三 年 NSO 的 0day 武器 攻击 产品 被 捕获 ， 该 漏 
洞 利用 上 通过 一 个 整数 溢出 完成 了 一 个 图 灵 完 备 的 系统 ， 整 个 利用 的 复杂 程度 在 漏洞 利用 史上 也 是 少 有 
的 。 


A 
B 


A. El 4.6 AND I XORT'] 


z<. HME (PrintNightmare) : 一 系列 打印 机 Oday 漏洞 


打印 机 相关 漏洞 最 早 被 人 熟知 ， 应 该 是 源 于 2010 年 的 震 网 攻击 事件 ， 当 时 的 攻击 样本 通过 MS10-061 
打印 机 漏洞 进行 横向 移动 ， 自 此 之 后 打印 机 相关 的 漏洞 便 一 直 维 持 在 不 温 不 火 的 状态 。 直 到 2021 年 六 
月 出 现 的 CVE-2021-1675， 该 漏洞 一 开始 只 是 被 微软 评级 为 本 地 提 权 ， 但 经 过 奇 安信 红 雨 滴 团 队 研究 后 
发 现 这 是 一 个 可 以 远程 代码 执行 的 高 危 漏洞 ， 并 首发 公开 了 利用 成 果 ， 随 后 引发 全 球 安全 研究 人 员 的 高 
度 关注 ， 继 而 挖掘 出 多 个 补丁 绕 过 漏洞 。 
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RedDrip Team @RedDrip/ - 2021 年 6 月 28 
Recently, we found right approaches to exploit #CVE-2021-1675 
successfully, both #LPE and &RCE. It is interesting that the vulnerability 
was classified into #LPE only by Microsoft, however, it was changed into 
Remote Code Execution recently. 


msrc.microsoft.com/update-guide/e... 


到 4.7 奇 安信 红 雨 滴 团 队 CVE-2021-1675 利用 示例 


而 微软 在 整个 漏洞 修复 过 程 中 的 草率 处 理 ， 也 导致 该 问题 始终 没有 得 到 根治 ， 从 而 在 CVE-2021-1675 补 
丁 的 基础 上 相继 产生 了 多 个 绕 过 漏洞 : CVE-2021-34527、CVE-2021-36936。 此 后 打印 机 漏洞 的 热度 也 
没有 因为 PrintNightmare 的 最 终 修 复 停 止 ， 疑 似 CVE-2021-34481 编号 的 打印 机 共享 漏洞 被 公开 ， 整 
个 了 月 到 8 月 期 间 紧急 修复 了 超过 5 个 打印 机 相关 的 漏洞 。 


由 于 同时 可 以 在 远程 和 本 地 的 场景 下 进行 利用 ， 且 代码 足够 稳定 ，PrintNightmare 公开 后 不 久 便 被 多 
个 勒索 木马 家 族 收 录 到 武器 库 中 。 

七 、 针 对 ioS/macOS 的 多 起 0day 漏洞 攻击 活动 

2021 年 上 旬 ，360 披露 了 多 起 针对 Apple 系 产 品 的 高 级 威胁 攻击 ， 影 响 最 新 的 i0S，macOS 系统 ， 攻 
击 中 涉及 的 三 个 漏洞 (CVE-2021-30661. CVE-2021-30665. CVE-2021-30666) 皆 出 现在 Webkit 中 ， 攻 
击 者 通过 鱼 叉 邮 件 / 水 坑 的 攻击 方式 投递 攻击 样本 。 

2021 年 5 月 ， 国 外 多 个 厂商 曝光 了 APT29 组 织 进 行 群发 钓鱼 邮件 的 攻击 由 59， 在 其 中 一 次 针对 性 钓鱼 邮 


件 攻击 中 ， 该 组 织 并 没有 直接 发 送 木 马 ， 而 是 采取 发 送 链接 的 方式 。 当 用 户 点 击 链接 后 ， 会 被 链接 
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对 应 的 服务 器 进行 识别 ， 当 识别 到 是 iOS 设备 时 ， 则 用 户 将 重 定向 到 另 一 台 控 制服 务 器 ， 而 该 服务 器 则 
返回 CVE-2021-1879 的 Oday 漏洞 利用 代码 ， 该 漏洞 为 ijOS XSS( 跨 站 脚本 ) 漏洞 。 


2021 年 8 AFE, Google 威胁 分 析 组 捕获 一 起 针对 中 国 香港 民主 劳工 的 水 坑 攻击 事件 8s0 ， 该 媒体 机 
构 网 站 被 攻陷 后 ， 其 页 面 中 被 插入 了 指向 攻击 者 构造 的 恶意 漏洞 页 面 。 攻 击 中 使 用 的 是 Safari 浏览 器 的 
nday 漏洞 ， 漏 洞 触发 后 通过 macos 的 Oday 漏洞 CVE-2021-30869 实现 权限 提升 。 


JV. CVE-2021-40444: 精妙 的 Office 在 野 Oday 漏洞 利用 


从 2017 年 CVE-2017-11882 一 系列 Equation 漏洞 之 后 ， 通 过 Office 作为 攻击 载体 的 鱼 叉 攻击 方式 便 
少 有 好 用 的 新 漏洞 出 现 ，Equation 系列 的 漏洞 也 和 CVE-2017-0199 成 为 APT 组 织 中 漏洞 鱼 叉 邮件 的 三 
RÆ, EF) 2021 年 9 H 7 日 微软 发 布 的 紧急 更 新 ， 更 新 中 修复 了 一 个 存在 于 Mshtml 中 的 在 野 0day 
漏洞 ， 该 漏洞 被 发 现 通过 office 文档 的 方式 进行 投递 攻击 ， 受 害 者 打开 文档 后 将 触发 远程 代码 执行 ， 奇 
安信 威胁 情报 中 心 也 在 第 一 时 间 还 原 了 当时 的 整个 攻击 流程 。 


RedDrip Team GRedDrip/ - 9 月 8 日 
M t > Maybe it is the latest #CVE-2021-40444 attack sample, which only 
requires one click to run. 


And our researchers have reproduced the exploit. 


i" wae 


Ọ 8 Q 115 Q 346 fon 


A. El 4.8 奇 安信 红 雨 滴 团 队 复 现 CVE-2021-40444 漏洞 利用 


该 漏洞 本 质 上 为 一 处 目录 穿越 漏洞 ， 通 过 一 系列 精细 的 构造 ， 可 实现 office 上 的 远程 代码 执行 ， 此 外 由 
于 mshtml 的 特性 ， 该 漏洞 同样 可 以 通过 浏览 器 的 方式 进行 触发 ， 在 公开 不 到 一 个 月 的 时 间 里 便 被 APT 
组 织 用 于 针对 俄罗斯 军事 相关 开发 商 的 攻击 中 ， 由 于 该 完美 的 契合 鱼 又 / 水 坑 攻 击 的 特性 ， 更 是 直接 被 
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诸多 勒索 家 族 ， 如 Magniber、Ryuk 的 第 一 时 间 就 更 新 到 其 武器 库 中 。 


随后 在 2021 年 10 月 漏洞 CVE-2021-40444 被 用 于 一 起 针对 西亚 相关 国防 工业 个 人 的 攻击 活动 中 PU, 
Trellix 以 中 等 置信 度 将 该 次 攻击 归属 于 APT28。 但 是 有 趣 的 是 这 次 攻击 中 CVE-2021-40444 并 不 是 作为 
鱼 叉 邮 件 攻 击 中 的 第 一 阶段 的 漏洞 样本 ， 攻 击 中 投递 的 鱼 叉 邮件 为 一 个 xlsx 格式 的 Excel 文档 ， 该 文档 
使 用 0day 漏洞 CVE-2021-42292 用 于 绕 过 Excel 的 告警 ， 从 而 下 载 一 个 远程 的 xls 文档 并 执行 ， 下 载 
的 xls 文档 会 触发 CVE-2021-40444 漏洞 获取 之 后 的 执行 权 ，CVE-2021-42292 的 介入 弥补 了 CVE-2021- 
40444 曝光 后 相关 安全 软件 的 高 查 杀 率 ， 整 个 攻击 事件 流程 如 下 ，5 引 用 Trellix 公司 对 此 攻击 事件 的 分 享 
报告 。 


Exploit Server OneDrive C&C Empire Server 


EE 48 Q 


Request HTML Send HTML Send victim Receive followup Ex Receive task 
exploit exploit information malware results 
Ld 
X h ——— Ruwi — Hum — Rum — —— 
_ 
CVE-2021-40444 Second Stage Graphite DLL Launcher Empire 


C# Stager Powershell Stager 


A. 图 4.9 Trellix 针对 CVE-2021-42292/ CVE-2021-40444 攻击 事件 流程 截图 


九 、Log4Shell: 暗藏 在 Apache Log4j 下 的 Java 生态 核弹 


Apache Log4j 是 Apache 软件 基金 会 下 一 个 基于 Java 的 开源 日 志 记 录 项 目 。2021 年 12 月 9 日 , 一 
个 严重 的 Apache Log4 漏洞 CVE-2021-44228 细节 被 公开 ， 此 次 漏洞 出 现在 Apache Log4j 最 新 版 本 
rB, Apache Log4j 被 广泛 地 应 用 于 各 种 常见 的 Web 服务 ，Apache Struts2、Apache Solr, Apache 
Druid、Apache Flink 等 众多 组 件 与 大 型 应 用 均 受 影响 。 所 有 使 用 Java 作为 开发 语言 产品 研发 的 互联 网 
服务 提供 商 、 甚 至 公司 OA 系统 等 提供 外 部 服务 的 应 用 只 要 用 Apache Log4j 2 插件 ,都 极 有 可 能 遭受 攻击 。 


在 利用 细节 公开 的 短 短 一 周 内 ， 就 出 现 了 大 量 通过 该 漏洞 进行 攻击 的 活动 ， 其 中 包含 伊朗 组 织 
Charming Kitten， 此 外 HAFNIUM 也 被 发 现 通过 该 漏洞 攻击 了 部 分 虚拟 化 基础 设施 ne ， 可 以 预见 未 来 


的 一 段 时 间 内 ， 该 漏洞 一 定 是 众多 APT 组 织 在 攻击 中 会 首先 考虑 使 用 的 一 个 攻击 面 。 
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十 、 海 莲花 : 利用 多 个 国内 安全 企业 0day 发 起 供应 链 APT 攻击 

2021 年 全 年 ， 奇 安信 红 雨 滴 团 队 捕获 到 海 莲花 APT 组 织 利用 多 个 国内 安全 企业 Oday 发 起 供应 链 APT 
攻击 ， 并 多 次 通过 内 网 相关 管理 平台 的 0day 漏洞 执行 横向 渗透 攻击 。 使 用 的 部 分 0day 漏洞 和 攻击 事 
件 如 下 。 


” 使 用 国内 某 终端 安全 产品 远程 命令 执行 0day 漏洞 进行 内 网 渗透 攻击 。 


" 使 用 国内 某 安全 产品 0day 漏洞 攻击 暴露 在 公 网 上 的 相关 控制 人 台 ， 并 通过 控制 台 向 使 用 其 安全 产品 的 
第 三 方 企业 员工 下 发 木马 ， 实 现 基 于 安全 产品 的 APT 供应 链 攻 击 。 


" 通过 某 服务 器 集群 管理 软件 任意 文件 上 传 1day 漏洞 控制 公 网 服务 器 作为 网 络 攻击 转发 节点 。 
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第 五 章 2022 年 高 级 持续 性 威胁 预测 


我 们 基于 2021 年 APT 威胁 的 态势 以 及 近年 来 APT 威胁 组 织 和 活动 的 变化 情况 对 2022 年 高 级 持续 性 威 
胁 进 行 预测 。 


一 、 疫 苗 及 相关 产业 将 会 遭 到 持续 攻击 
疫情 贯穿 了 2020 年 和 2021 年 ， 各 大 机 构 预测 疫情 可 能 会 与 全 世界 长 期 相伴 。 


2021 年 ， 针 对 医疗 卫生 行业 ， 特 别 是 疾 控 部 门 和 疫苗 研制 机 构 的 APT 活动 已 经 成 为 年 度 焦点 。 显 然 ， 
在 2022 年 ， 这 一 趋势 还 将 继续 。 特 别 地 ，2021 年 是 人 类 历史 上 第 一 次 全 球 疫苗 大 接种 的 一 年 ，APT 组 
织 接 下 来 可 能 会 持续 针对 疫苗 研制 、 生 产 的 相关 机 构 发 起 持续 性 的 网 络 攻 击 。 同 时 ， 疫 苗 的 相关 产业 ， 
如 疫苗 流通 〈 冷 链 设备 、 冷 链 运输 、 冷 链 流通 和 冷 链 物流 等 ) 、 疫 苗 包装 和 原材料 供应 、 疫 苗 终端 使 用 
和 处 理 (注射 器 以 及 医疗 废物 处 理 等 ) 等 环节 ， 都 很 有 可 能 成 为 APT 组 织 关 注 焦点 。 


二 、 针 对 中 国 的 APT 行动 将 持续 加 剧 


中 国 作为 2021 年 全 球 少数 实现 经 济 正 增长 的 主要 经 济 体 。 面 对 世界 百年 未 有 之 大 变局 ， 中 国 的 经 济 与 
科技 发 展 ， 正 在 经 受 着 前 所 未 有 的 巨大 考验 。 


一 方面 ， 中 国 不 断 取得 的 技术 突破 使 得 我 们 在 某 些 领 域 已 经 处 于 全 球 领先 地 位 ; 另 一 方面 ， 某 些 西 方 大 
国 对 部 分 中 国 科技 企 业 采 取 持 续 的 打压 行动 。 这 两 个 方面 的 形势 , 在 2021 年 都 有 所 加 剧 。 这 也 就 意味 着 ， 
中 国 领 先 的 科研 机 构 、 科 技 企 业 都 将 在 2022 年 面临 更 加 严峻 、 更 加 激烈 的 网 络 窃 密 活动 与 网 络 破坏 活动 。 
这 也 对 中 国政 企 机构 的 网 络 安全 建设 与 运行 水 平 提出 了 更 高 的 要 求 。 


三 、 在 野 0day 漏洞 利用 持续 爆发 


2021 年 ，APT 组 织 在 野 利用 的 Oday 漏洞 数量 达到 了 近 百 个 ， 这 在 网 络 安全 历史 上 也 是 未 曾 一 见 的 。 其 
不 仅 体 现在 漏洞 数量 多 ,而 且 其 类 型 几乎 覆盖 具有 垄断 地 位 市 场 份额 的 系统 和 产品 。 所 以 从 趋势 上 来 看 ， 
我 们 认为 未 来 会 出 现 更 多 的 在 野 0day 攻击 案例 。 
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四 、 瞄 准 关 键 基础 设施 的 破坏 和 攻击 会 越发 泛滥 


2021 年 7 月 30 日 ， 多 年 来 业界 一 直 关 注 的 《关键 信息 基础 设施 保护 条 例 》 正 式 公布 ，2021 年 9 月 1 
日 起 施行 。 


网 络 空间 是 物理 空间 的 延续 ， 而 关键 信息 基础 设施 是 物理 空间 的 核心 载体 ， 关 基 系 统 的 可 用 性 、 完 整 性 、 
保密 性 在 国家 安全 层面 至 关 重 要 。 当 前 国际 安全 风云 变幻 ， 境 外 具有 国家 背景 的 高 级 威胁 行为 体 (APT) 
保持 了 高 度 活 跃 ， 持 续 针 对 我 国 开展 网 络 攻 击 ， 其 中 的 主要 目标 就 是 包括 金融 、 通 信 、 交 通 、 能 源 、 政 
务 网 络 在 内 的 关键 信息 基础 设施 。 已 知 的 强 敌 侵入 我 国 的 通信 、 航 空 、 邮 件 等 基础 关键 系统 ， 除 此 以 外 ， 
中 国 周边 的 国家 明确 针对 中 国境 内 实施 攻击 活动 且 依 旧 活 跃 的 公开 APT 组 织 包 括 : ETC. ejj S. € 
灵 伦 、Darkhotel、Group 123、 毒 云 荐 和 蓝 宝 菇 等 ， 这 些 高 级 威胁 行为 体 持续 侵入 控制 我 方 重要 系统 ， 
窃取 敏感 信息 ， 潜 伏 下 来 在 需要 的 时 候 执行 破坏 瘫痪 操作 。 


近年 来 全 球 多 个 国家 已 经 遭受 类 似 事件 。2020 年 以 来 就 有 4 起 关键 信息 基础 设施 遭 到 破坏 : 如 英国 电 
网 重要 管理 机 构 Elexon 遭 到 网 络 攻 击 ， 内 部 IT 网 络 受到 影响 、 关 键 通信 功能 丧失 ; 印度 孟买 遭遇 大 范 
围 断 电 ， 直 接 导 致 铁路 、 股 票 交 易 所 、 医 疗 设施 以 及 其 它 大 部 分 关键 基础 设施 “瘫痪 ”等 事件 发 生 ; 
2021 年 美国 最 大 的 燃油 管道 运营 商 、 全 球 最 大 的 肉 类 加 工 企业 均 因 黑 客 攻击 而 在 相当 一 段 时 间 内 运作 


冻结 。 


我 们 认为 2022 年 ， 全 球 关 键 基础 设施 将 会 成 为 国家 级 APT 组 织 关 注 的 焦点 。 


五 、 针 对 网 络 安全 产品 的 攻击 会 受到 APT 组 织 更 多 的 关注 

对 于 企业 而 言 ， 网 络 安全 是 发 展 的 基石 ， 而 部 署 网 络 安全 产品 更 是 企业 防御 网 络 攻击 最 直接 有 效 的 手段 。 
但 如 果 被 攻击 者 掌握 了 安全 公司 的 安全 设备 0day 漏洞 ， 或 者 是 获取 到 相应 的 网 络 安 全 产品 权限 ， 这 无 
疑 将 守护 企业 网 络 安全 最 关键 的 屏障 变 为 了 黑客 的 “后 门 ”。 


在 2021 年 ， 奇 安信 红 雨 滴 团 队 捕 获 到 海 莲 人 花 组 织 通 过 多 个 安全 终端 软件 的 0day 漏洞 入 侵 国内 多 个 重 
点 企业 和 单位 。2021 年 4 月 21 H, 趋势 科技 通告 称 其 反 病 毒 产 品 漏洞 (CVE-2020-24557) 被 在 野 利用 。 


种 种 迹象 表明 ，2022 年 ，APT 组 织 会 投入 更 多 的 精力 寻找 网 络 安全 产品 相关 的 漏洞 和 缺陷 ， 借 以 入 侵 
部 署 了 相关 安全 产品 的 企业 。 
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六 、 爆 发 更 多 、 更 严重 的 供应 链 APT 攻击 事件 


在 2021 年 全 年 ， 供 应 链 攻击 频频 发 生 ， 我 们 观察 到 攻击 的 主要 目标 更 侧重 于 在 供应 链 中 负责 提供 服务 
的 公司 。 


贯穿 全 年 ， 奇 安信 红 雨 滴 团 队 捕获 到 海 莲 花 APT 组 织 利 用 多 个 国内 安全 企业 Oday 发 起 供应 链 APT 攻击 。 
2021 年 4 月 1 日 ， 代 码 测试 公司 Codecov 的 Bash Uploader script 工具 被 黑客 利用 Docker 映像 文件 
获取 到 密码 进行 未 授权 修改 ， 攻 击 者 通过 该 手段 持续 收集 该 公司 客户 的 重要 凭证 如 APT 密 钥 、 存 储 信息 
等 。 


2021 年 7 月 ，Jfrog 在 其 科技 博客 中 报告 在 PyPI 存储 库 中 发 现 几 个 恶意 代码 包 ， 根 据 pepy.tech 的 数 
据 显 示 ， 相 关 恶 意 代 码 在 从 PyPl 网 站 删除 之 前 已 被 下 载 3 万 次 。 


2021 年 7 月 2 日 ,总 部 位 于 迈阿密 的 Kaseya 公司 发 布 声明 ， 确 认 其 下 产品 Kaseya VSA 软件 存在 漏洞 ， 
已 被 REvil 黑客 勒索 组 织 利 用 攻击 。 


2021 年 8 月 ， 腾 讯 安 全 云 昂 实验 室 通 过 对 Docker Hub 的 镜像 进行 长 期 监控 和 安全 态势 分 析 ， 监 测 到 
一 个 较 大 的 挖 矿 黑 产 组 织 利 用 Docker Hub 上 传 特 制 挖 矿 镜像 ， 通 过 蠕虫 病毒 快速 感染 docker 主机 ， 
入 侵 成 功 后 ， 再 自动 下 拉 这 些 特 制 挖 矿 镜 像 到 本 地 运行 进行 挖 矿 获 利 。 该 黑 产 组 织 从 2020 年 6 月 开始 
使 用 3 个 Docker Hub 账户 制作 了 21 个 恶意 镜像 ， 累 计 下 载 传播 量 达 到 342 万 ， 获 取 了 不 低 于 313.5 
个 门 罗 币 ， 获 利 高 达 54 万 多 人 民 币 。 因 其 挖 矿 账 户 中 包含 了 邮箱 账号 anandgovards， 被 腾讯 称 为 
anandgovards 黑 产 组 织 。 


2021 年 9 月 26 日 ， 毒 霸 安 全 团队 披露 了 一 起 疑似 针对 矿 机 广 商 的 供应 链 攻击 事件 。 全 球 知 名 矿 机 品 
牌 “ 翼 比特 ”官网 的 矿 机 管理 工具 “EbiteMinerMini” 被 植 入 后 门 代码 ， 通 过 多 组 “ 白 利用 ”隐蔽 装载 


CobaltStrike 远 控 木 马 ， 随 后 下 发 键盘 记录 插件 keylogger 进行 定向 窃 密 。 


通过 以 上 真实 案例 ,我 们 认为 在 2022 年 ，APT 组 织 会 借助 供应 链 攻击 的 便捷 和 隐秘 的 特性 ， 发 起 更 多 、 
更 严重 的 供应 链 APT 攻击 。 
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附录 1 全 球 主要 APT 组 织 列 表 


BEES 
别名 :Patchwork、 白 象 


摩 启 草 最 早 由 Norman 
安全 公 司 曝光 ， 是 一 个 
来 自 于 南亚 地 区 的 境 
JH APT 组 织 ， 主 要 针对 
中 国 、 巴 基 斯 坦 等 亚洲 
地 区 国家 进行 网 络 间 
谍 活 动 ， 以 窃取 敏感 信 
息 为 主 。 


APT29 


APT29 最 早 攻击 活动 至 
少 可 以 追溯 到 2008 ££. 
该 组 织 被 认为 从 2015 
年 夏季 就 攻击 了 美 
DNC。 


Molerats 
别名 :Gaza cybergang 


Molerats 是 一 个 出 于 政 
治 动 机 的 威胁 组 织 , 攻击 
目标 主要 是 中 东 、 欧 洲 和 
美国 。 


Sandworm 
别名 :BlackEnergy 


Sandworm 是 网 络 间 
谍 组 织 , 主要 针对 能 源 、 
工业 控制 系统 、 
SCADA、 政 府 和 媒体 相 
关 的 乌克兰 实体 开展 攻 
击 活 动 ;该 组 织 与 
2015 年 底 的 乌克兰 能 
源 部 门 袭击 事件 有 关 。 


APT28 


APT28 历史 攻击 活动 非 
常 频繁 , 主要 开展 网 络 间 
谍 活 动 ; 该 组 织 被 认为 
和 2016 年 美国 DNC 被 
攻击 及 干扰 美国 大 选 事 
件 有 关 。 


EI Machete 


EL Machete 疑似 一 个 熟 
悉 西班牙 语 并 活跃 在 拉 
美 地 区 的 APT 组 织 ， 其 
攻击 目标 主要 针对 拉美 
国家 的 政府 实体 。 该 组 织 
使 用 Python 编译 的 可 
执行 文件 并 结合 色情 图 
片 进 行 诱导 攻击 。 


Energetic Bear 
别名 :Dragonfly 


Energetic Bear 疑似 网 
络 间谍 组 织 , 其 攻击 对 象 
最 初 主 要 针对 国防 和 航 
空 公司 ,但 在 2013 年 初 ， 
其 攻击 目标 转移 到 能 源 、 
工控 领域 。 


Inception 
Framework 


别名 :Cloud Atlas、 
RedOctober 


Inception Framework 
是 一 个 持续 多 年 的 APT 
组 织 ,最 初 攻击 目标 主要 
是 俄罗斯 和 东欧 地 区 ,后 
续 延 伸 至 全 球 , 主 要 针对 
金融 、 能 源 、 外 交 等 领域 
开展 攻击 活动 。 该 组 织 
擅长 利用 云 服务 和 物 联 
网 隐藏 其 控制 基础 设 
施 ， 并 且 同 时 拥有 针对 
PC 和 移动 终端 的 攻击 
工具 .卡巴 曾 披露 该 组 
织 与 RedOctober 行动 
有 关 。 
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Lazarus Group 
别名 :Hidden Cobra 


Lazarus Group 最 早 的 
攻击 活动 可 以 追溯 到 
2009 年 ， 包 括 针 对 韩国 
的 DarkSeoul、2014 年 
攻击 SONY 事件 、2017 
年 的 WannaCry 事件 。 
近 几 年 来 , 该 组 织 的 活动 
主要 针对 全 球 金融 、 银 行 
及 加 密 货 币 交 易 相 关 的 
目标 。 


Kimsuky 


Kimsuky 至 少 从 2013 
年 9 月 开始 活跃 。 该 组 织 
针对 韩国 智囊 团 以 及 与 
朝 核 相 关 的 目标 开展 攻 
击 活 动 ， 曾 被 认为 与 
2014 年 韩国 水 电 与 核 
电 公司 (Korea Hydro & 
Nuclear Power Co.) 被 


攻击 事件 有 关 。 


Darkhotel 


Darkhotel 是 卡巴 披露 的 
APT 团伙 ， 其 早期 针对 高 
级 酒店 网 络 实施 攻击 活 
动 ， 主 要 使 用 的 攻击 手法 
为 鱼 叉 邮件 攻击 。 


Turla 


Turla 拥有 非常 复杂 的 
TTP, 主要 实施 网 络 间 
谍 活 动 ， 其 前 身 可 能 和 
Moonlight Maze 有 关 。 


SAk 
别名 : PoisonVine 


毒 云 茧 是 奇 安 信 威 胁 情 
报 中 心 披露 的 APT 组 织 ， 
其 最 早 攻击 活动 可 追溯 
到 2007 年 ; 该 组 织 主要 
针对 国内 政府 、 军 事 、 
防 、 科 研 等 机 构 , 使 用 鱼 
叉 邮 件 攻 击 和 水 坑 攻 击 
等 手段 来 实施 APT 攻击 。 


谍 组 织 , 攻击 活动 主要 针 


CopyKittens 
CopyKittens 是 网 络 间 


对 以 色 列 、 沙 特 阿 拉 伯 、 
土耳其 、 美 国 、 约 旦 和 德 
国 等 目标 。 


方程 式 


方程 式 是 一 个 拥有 全 平 
台 载 荷 攻击 能 力 的 攻击 
组 织 ， 掌握 多 个 0Day 
漏洞 。 
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奇 安信 持续 跟踪 的 主要 APT 团 伙 
针对 中 国境 内 有 攻击 行为 的 APT 团 伙 


莲花 


名 :OceanLotus, APT32 


莲花 是 奇 安信 威胁 情 
中 心 披露 的 APT 组 织 ， 
最 早 活动 可 追溯 至 
12 年 。 该 组 织 主 要 使 
鱼 叉 攻 击 和 水 坑 攻 击 
攻击 手法 和 Denis 木 
. Cobalt Strike 等 攻击 
具 ， 先 后 针对 中 国政 
、 海事 机 构 和 东南 亚 国 
等 开展 攻击 活动 。 
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ERR 
名 :GoldenEye、 
ipd 


金 眼 是 奇 安信 威胁 情 
中 心 披露 的 APT 组 织 ， 
要 针对 国内 证 券 相 关 
业 实 施 攻击 活动 。 
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别名 :BITTER 


莫 灵 花 曾 针对 中 国 、 巴 基 
斯 坦 政府 等 相关 目标 实施 
APT 攻击 。 奇 安信 威胁 情 
报 中 心 后 续 发 现 该 组 织 使 
用 InPage 漏 洞 , 并 与 
Confucius 和 摩 词 草 存 在 


关联 。 


Group 123 
别名 :APT37、ScarCruft 


Group 123 是 网 络 间 谍 
组 织 ， 至 少 从 2012 年 开 
始 活跃 ， 曾 针对 韩国 、 中 
国 等 目标 区 域 实施 攻击 
活动 。 


2016 


i 


索 伦 之 眼 


别名 :Strider、 
ProjectSauron 


索 伦 之 眼 是 一 个 极为 复 
杂 的 网 络 间谍 平台 , 至 少 
从 2011 年 开始 活跃 ， 其 
攻击 目标 包括 俄罗斯 、 中 
国 、 瑞 典 、 比 利 时 、 伊朗 和 
卢旺达 等 。 


APT34 
别名 :OilRig 


APT34 至 少 从 2014 年 
开始 针对 中 东 地 区 实施 
攻击 ， 攻 击 目标 包括 金 
融 \ 政府 能 源 、 化 工 和 电 
信 等 行业 。 该 组 织 过 去 以 
APT34 和 OilRig 两 个 不 
同 的 名 称 被 分 别 进行 追 
踪 分 析 。 


美人 鱼 


美人 鱼 行动 是 主要 针对 
欧盟 国家 政府 机 构 开展 
的 持续 时 间 长 达 6 年 的 
网 络 间谍 活动 , 已 经 证 实 
对 丹麦 外 交 部 实施 过 攻 
击 活动 , 其 攻击 手法 主要 
使 用 水 坑 攻 击 。 


人 


n = 


人 面 狮 行动 是 奇 安信 威 
胁 情 报 中 心 披露 的 APT 
攻击 活动 , 它 是 活跃 在 中 
东 地 区 的 网 络 间谍 活动 ， 
主要 目标 可 能 涉及 到 埃 
及 和 以 色 列 等 国家 的 不 
同 组 织 , 目的 是 窃取 目标 
敏感 数据 信息 。 活 跃 时 间 
主要 集中 在 2014 年 6 月 
到 2015 年 11 月 期 间 , 该 
组 织 主 要 利用 社交 网 络 
进行 水 坑 攻 击 。 


MuddyWater 


MuddyWater 最 早 被 发 现 
于 2017 年 2 BÆ 10 月 期 
间 ， 针 对 中 东 实 施 了 网 络 
间谍 活动 ， 其 主要 使 用 的 
PowerShell 后 门 也 被 称 
为 POWERSTATS。 


Longhorn 
别名 :Lamberts 


Longhorn 疑似 情报 机 
构 背 景 的 攻击 团伙 , 维基 
解密 于 2017 年 3 月 泄 
ZH Vault 7 项 目 资料 曝 
光 了 其 内 部 的 网 络 武器 
项 目 。 


2017 


A 


BlackTech 


BlackTech 疑似 网 络 间 
谍 组 织 ， 主 要 针对 东亚 地 
区 实施 APT 攻击 活动 ， 
攻击 目的 疑似 窃取 目标 
公司 的 技术 和 证 书 , 该 组 
织 常用 的 恶意 工具 也 被 
称 为 PLEAD。 


双 尾 蝎 
别名 :Big Bang 


双 尾 蝎 是 奇 安 信 威 胁 情 
报 中 心 披露 的 APT 组 织 ， 
其 曾 对 巴勒斯坦 教育 机 
构 、 军 事 机 构 实 施 APT 
攻击 , 攻击 范围 主要 为 中 
东 地 区 , 攻击 工具 包括 
Windows 和 Android 平 
台 , 主要 采取 鱼 叉 或 水 坑 
等 攻击 方式 配合 社会 工 
程 学 手段 进行 渗透 , 向 特 
定 目 标 人 群 进行 攻击 。 后 
续 国外 安全 厂商 也 将 Big 
Bang 攻击 行动 与 双 尾 蝎 
联系 到 一 起 。 


肚 脑 虫 
别名 :Donot 


肚 脑 虫 是 奇 安 信 威 胁 情 
报 中 心 披露 的 APT 组 织 ， 
活跃 在 南亚 地 区 , 主要 以 
巴基斯坦 为 攻击 目标 , 攻 
击 工具 主要 使 用 yty 和 
EHDevel 两 套 恶意 软件 
框架 ; 分 析 师 研究 发 现 
该 组 织 与 Hangover 和 
Patchwork 存在 联系 。 


APT33 


APT33 是 FireEye 
的 APT £B£R, Xd 
包括 美国 、 沙 特 阿 所 
韩国 , EHIME 
源 领域 实施 攻击 活 5 


Charming Kitte 


Charming Kitte 网 
谍 组 织 ， 从 2014 8 
开始 活跃 , 主要 针 义 
FRAR AAA 
个 人 目标 开展 攻击 ; 
该 组 织 在 TTP. 
Magic Hound £B£ 
AE E, 


Es 


Gamaredon Gr 


Gamaredon Grou 
少 从 2013 FLEE 
攻击 过 乌克兰 政府 
人 员 。 该 团伙 的 攻 
法 与 工具 不 断 演 
由 过 去 严重 依 ， 
off-the-shelf 工具 
为 自 定 义 的 恶意 
OPERATION AR 
GEDDON 175) 532 


o 


Gorgon 


Gorgon 的 历史 攻击 活 
动 混合 了 网 络 犯 罪 活 
动 和 针对 性 的 网 络 攻 
击 活动 ， 其 针对 性 网 络 
攻击 活动 与 C-Major 行 
动 .ProjectM 存在 联系 。 


AER 


黄金 饼 被 安全 厂商 证 实 为 
某 电子 网 军 背 景 的 APT 组 
织 , 同时 具备 Windows 和 
Android 平台 的 恶意 攻击 
能 力 。 


蓝 宝 菇 是 奇 安 信 威 胁 情 
报 中 心 披露 的 APT 组 织 ， 
主要 针对 国内 政府 、 军 
工 、 科 研 、 金 融 等 机 构 实 
施 APT 活动 ， 攻 击 历史 
主要 关注 核 工 业 和 科研 
相关 技术 。 


(O ra 


DarkHydrus 


DarkHydrus 曾 针 对 中 
东 的 政府 机 构 和 教育 机 
构 , 并 且 大 量 利用 开源 工 


Sidewinder 
别名 :响尾蛇 
SideWinder 疑似 南亚 的 


APT 组 织 ， 曾 针对 巴 基 斯 
坦 进行 鱼 叉 式 钓鱼 邮件 


军刀 狮 
别名 :ZooPark 


军刀 狮 是 卡巴 披露 的 
一 个 针对 中 东 目 标 实 
施 APT 攻击 的 组 织 , 其 
主要 通过 Telegram 和 
水 坑 攻 击 分 发 恶意 软件 ， 
该 组 织 也 重点 针对 库 尔 
德 人 目标 实施 攻击 活动 。 


SERE (APT-C-34) 的 大 
部 分 攻击 行动 主要 是 针 
对 哈萨克 斯 坦 国境 内 的 
情报 收集 任务 ， 其 中 也 
波及 了 我 国 驻 哈萨克 斯 
坦 境 内 的 机 构 和 人 员 ， 
除了 传统 的 后 门 程序 ， 
黄金 内 组 织 还 采购 了 
HackingTeam 和 NSO 
的 商业 间谍 软件 。 


盲 眼 应 是 奇 安信 威胁 
情报 中 心 披露 的 疑似 
南美 洲 地 区 的 APT 组 
织 , 从 2018 年 4 月 起 ， 
针对 哥伦比亚 政府 机 
构 和 大 型 公司 (金融 、 
石油 、 制 造 等 行业 ) 等 
实施 针对 性 攻击 活动 。 


"hugo Zj z fs 


IA 


虎 木 梯 疑 似 来 自 东 北 亚 
的 APT 组 织 ， 使 用 的 恶 
意 代码 有 着 很 强 的 隐蔽 
性 , 且 具 备 0day 漏洞 发 
气 利 用 能 力 ， 曾 通过 浏 
览 器 漏洞 攻击 国内 重点 
单位 。 


拍 拍 熊 是 一 个 针对 某 武 
装 组 织 进 行 持续 攻击 的 
APT 组 织 , 同时 拥有 针对 
Windows 和 Android 
的 攻击 平台 。 
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诺 崇 独 


别名 :SilencerLion 


诺 崇 狮 是 奇 安信 威胁 情 
报 中 心 披露 的 组 织 ， 活 
跃 在 中 东 地 区 ， 一 直 持 
续 针 对 阿拉 伯 语 用 户 、 
什 叶 派 及 评论 人 士 展 开 
攻击 ， 旨 在 让 被 攻击 者 
的 社交 平台 账号 变 成 
“沉默 账号 "。 


别名 :Confucius 


ERMES ZIRMA 
报 中 心 披露 的 组 织 , 活跃 
在 南亚 地 区 , 一 直 持 续 针 
对 中 国 、 巴 基 斯 坦 的 国 
防 、 军 工 、 外 交 等 单位 进 
行 攻击 , 擅长 制造 钓鱼 网 
站 并 配合 钓鱼 邮件 进行 
攻击 , 散布 的 恶意 软件 主 
要 针 对 Windows 和 
Android 平台 。 


CTI NM 


利刃 应 主要 针对 伊斯兰 
国 、 基 地 组 织 、 库 尔 德 族 
群 和 土库曼 族群 进行 持 
续 攻击 控制 的 活动 , 投递 
的 均 为 与 目标 相关 性 极 
强 的 APK 恶意 软件 ， 其 
中 大 部 分 为 Spynote 及 
其 变种 。 


情报 中 心 持续 跟踪 
i APT 组 织 


LG 


Ferocious Kitten 


G 是 奇 安 信 威 胁 情 
心 首 个 披露 的 主要 
中 东 地 区 的 APT 组 
其 最 早 攻击 活动 可 
至 2015 年 。 主 要 以 
Zz Word 文档 、 伪 
视频 文件 的 可 执行 
为 载荷 开展 攻击 活 
= 巴 斯 基 根据 奇 安 
公开 报告 进行 了 拓 
析 并 将 其 命名 为 
cious Kitten。 


鹏 主要 针对 巴 基 斯 
户 展开 了 有 组 织 、 有 
、 针 对 性 的 长 期 监控 
。 该 组 织 一 般 利 用 钓 
站 进行 载荷 投递 .其 
h 平台 主要 为 
roid， 攻 击 目标 主要 
为 巴基斯坦 用 户 及 
斯 坦 TLP 政党 。 


EER 


摩 耶 象 是 奇 安 信 威 胁 情 
报 中 心 在 2020 年 发 现 的 
一 个 位 于 南亚 地 区 长 期 
针对 巴基斯坦 、 尼 泊 尔 、 
孟加拉 等 国 进行 间谍 活 
动 的 APT 组 织 。 其 攻击 
CC 均 为 动态 域名 ， 木 马 
均 基 于 开源 家 族 修改 , E 
要 攻击 手段 为 鱼 叉 邮 件 。 
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附录 2 奇 安信 威胁 情报 中 心 


威胁 情报 中 心 是 奇 安信 和 集团 旗下 专注 于 威胁 情报 收集 、 分 析 、 生 产 的 专业 部 门 ， 以 业界 领先 的 安全 大 数 
据 资 源 为 基础 ， 基 于 奇 安信 长 期 积累 的 威胁 检测 和 大 数据 技术 ， 依 托 亚太 地 区 顶级 的 安全 分 析 师 团队 ， 
通过 创新 性 的 运营 分 析 流 程 ， 开 发 威胁 情报 相关 的 产品 和 服务 ， 输 出 威胁 安全 管理 与 防护 所 需 的 情报 数 
据 ， 协 助 客户 发 现 、 分 析 、 处 置 高 级 威胁 活动 事件 。 


奇 安信 ALPHA 威胁 分 析 平 台 (https://ti.qianxin.com) ， 是 奇 安信 集团 面向 安全 分 析 师 和 应 急 响 应 团 
队 提 供 的 一 站 式 云端 服务 平台 ， 该 平台 拥有 海量 互联 网 基础 数据 和 威胁 研判 分 析 结 果 ， 为 安全 分 析 人 员 
及 各 类 企业 用 户 提供 基础 数据 的 查询 、 攻 击 线索 拓展 、 事 件 背 景 研 判 、 攻 击 组 织 解析 、 研 究 报 告 下 载 等 
多 种 维度 的 威胁 情报 数据 与 威胁 情报 服务 ， 提 供 全 方位 的 威胁 情报 能 力 。 


Y 奇 安信 威胁 情报 中 心 对 外 服务 平台 


例 阿 瑞 斯 Apns 威胁 分 析 武 器 库 


@ (r3) (0) 
失陷 情报 批量 查询 恶意 卫 批 旦 查询 IOC 自 动 化 数据 党 检测 Beta 


# 25. DMZ8E 33508 SIP. Z. URL. HERET HDMI $38 25IPfti B qz Uo tS EU SÍRIAEUERSPUERI. XSUREID. XE. URLAIS* 


tmt m 能 证 位 栓 测 


e) (@) (Ej) 


样本 哈 希 批 时 查询 APT 样 本 自动 化 检测 器 样本 自动 化 分 析 
Xsemdcb e m= CARANE. SIBtEEIBZU Um Exe ARANEA. mRfOLO3. xS9windows. Linux. 
A. xd EU Android + EJH 


(A) (E) 127 


J1PPdIP#iR4ë PCAP 自 动 化 分 析 邮件 批量 自动 化 检测 
FHEWDSPSRIAS RAW NEXE Bib. ARTERS XSEHEREMO. SÜLENHSSS. HRE 


80 全 球 高 级 持续 性 威胁 (APT) 2021 FERE 


微 信 公 众 号 


微 信 公众 
奇 安 信 威 胁 情报 中 心 奇 安信 病毒 响应 中 心 
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附录 3 红 雨 滴 团 队 (Red Drip Team) 


奇 安信 旗下 的 高 级 威胁 研究 团队 红 雨 滴 (RedDrip Team,@RedDrip7) ,成 立 于 2015 年 (前 身 为 天 眼 实 验 室 ) , 
持续 运营 奇 安信 威胁 情报 中 心 至 今 , 专注 于 APT 攻击 类 高 级 威胁 的 研究 ， 是 国内 首 个 发 布 并 命名 “ 海 莲花 ” 
(APT-C-00, OceanLotus) APT 攻击 组 织 的 安全 研究 团队 ， 也 是 当前 奇 安信 威胁 情报 中 心 的 主力 威胁 分 
析 技 术 支 持 团 队 。 


目前 ， 红 雨滴 团队 拥有 数 十 人 的 专业 分 析 师 和 相应 的 数据 运营 和 平台 开发 人 员 ， 覆 盖 威 胁 情报 运营 的 各 个 
环节 : 公开 情报 收集 、 自 有 数据 处 理 、 恶 意 代 码 分 析 、 网 络 流量 解析 、 线 索 发 现 挖掘 招展、 追踪 溯源 ， 实 
现 安全 事件 分 析 的 全 流程 运营 。 团 队 对 外 输出 机 读 威胁 情报 数据 支持 奇 安信 自 有 和 第 三 方 的 检测 类 安全 产 
品 ， 实 现 高 效 的 威胁 发 现 、 损 失 评估 及 处 置 建议 提供 ， 同 时 也 为 公众 和 监管 方 输出 事件 和 组 织 层面 的 全 面 
高 级 威胁 分 析 报 告 。 


依托 全 球 领 先 的 安全 大 数据 能 力 、 多 维度 多 来 源 的 安全 数据 和 专业 分 析 师 的 丰富 经 验 ， 红 雨滴 团队 自 
2015 年 持续 发 现 多 个 包括 海 莲 花 在 内 的 APT 组 织 在 中 国境 内 的 长 期 活动 ， 并 发 布 国内 首 个 组 织 层面 的 
APT 事件 揭露 报告 , 开创 了 国内 APT 攻击 类 高 级 威胁 体系 化 揭露 的 先河 , 已 经 成 为 国家 级 网 络 攻防 的 焦点 。 


(e: 


奇 安信 红 雨 滴 团 队 关注 微 信 公众 


ui] 


“ 红 雨 滴 ” 背 后 的 故事 ^M 100 亿 个 雨滴 中 找 一 个 红 雨 滴 ” 


2006 年 11 月 20 日 , 因 发 现 J 粒 子 而 获得 诺 贝 尔 奖 的 著名 华裔 物理 学 家 本 肇 中 教授 来 到 中 国 驻 瑞 士 大 使 馆 ， 
做 了 一 场 精彩 的 讲座 。 丁 後 中 教授 形容 自己 发 现 构成 物质 的 第 四 种 基本 粒子 一 一 J 粒子 的 高 精度 实验 时 说 
到 : “相当 于 在 北京 下 雨 时 ， 每 秒 钟 有 100 亿 个 雨滴 ， 如 果 有 一 个 雨滴 是 红色 的 ， 我 们 就 要 从 这 100 亿 个 
里 找 出 它 来 。” 

而 奇 安信 威胁 情报 中 心 高 级 威胁 分 析 团 队 同样 需要 在 海量 数据 中 精准 找寻 那些 红色 威胁 。 最 终 ， 我 们 选择 
了 “ 红 雨 滴 ” 作 为 团队 的 名 称 。 
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